Запись в индекс
В результате выполнения поисковой задачи обработанные данные можно записать в индекс для последующей обработки и аналитики.
Подробнее о создании активных действий и заполняемых в них параметрах можно ознакомиться в соответствующей статье. В качестве примера рассматривается поисковое задание из статьи Создание инцидента.
После заполнения настроек поискового задания добавьте активное действие Index Events
. Укажите название индекса для хранения обработанных данных.
При обнаружении события результат работы поисковой задачи будет записан в индекс correlation-results
. Для просмотра результатов сработки необходимо перейти в Навигационное меню - Основное - Поиск
и выполнить запрос:
source correlation-results
Для просмотра обнаруженных событий можно также воспользоваться инструментом Консоль разработчика
и выполнить запрос:
GET correlation-results/_search
{
"sort": [
{
"@timestamp": {
"order": "desc"
}
}
]
}
Запрос отсортирует и выведет последние зафиксированные события. Поля из результата поискового задания хранятся в системном поле _source
.
Пример зафиксированного события представлен ниже:
{
"_index": "correlation-results",
"_id": "GB__UY4Bf1-RmY8XiFCE",
"_score": 1,
"_source": {
"parent_process_id": "522699",
"image": """C:\Windows\net.exe""",
"process_id": 961130,
"parent_command_line": "net.exe",
"process_guid": "9b31b0c2-0e10-645a-797c-040000001300",
"@timestamp": "2024-03-18T14:33:55.000000Z",
"host": {
"ip": "192.168.16.29",
"name": "JM-CAN-026"
},
"parent_image": """C:\Windows\cmd.exe""",
"mitre_technique_id": "T1124",
"original_file_name": "",
"event": {
"action": "Process Create (rule: ProcessCreate)"
},
"user": "AndersonChristopher",
"command_line": """C:\Windows\net.exe time"""
}
}