Запись в индекс

В результате выполнения поисковой задачи обработанные данные можно записать в индекс для последующей обработки и аналитики.

Подробнее о создании активных действий и заполняемых в них параметрах можно ознакомиться в соответствующей статье. В качестве примера рассматривается поисковое задание из статьи Создание инцидента.

После заполнения настроек поискового задания добавьте активное действие Index Events. Укажите название индекса для хранения обработанных данных.

При обнаружении события результат работы поисковой задачи будет записан в индекс correlation-results. Для просмотра результатов сработки необходимо перейти в Навигационное меню - Основное - Поиск и выполнить запрос:

source correlation-results

Для просмотра обнаруженных событий можно также воспользоваться инструментом Консоль разработчика и выполнить запрос:

GET correlation-results/_search
{
  "sort": [
    {
      "@timestamp": {
        "order": "desc"
      }
    }
  ]
}

Запрос отсортирует и выведет последние зафиксированные события. Поля из результата поискового задания хранятся в системном поле _source.

Пример зафиксированного события представлен ниже:

{
  "_index": "correlation-results",
  "_id": "GB__UY4Bf1-RmY8XiFCE",
  "_score": 1,
  "_source": {
    "parent_process_id": "522699",
    "image": """C:\Windows\net.exe""",
    "process_id": 961130,
    "parent_command_line": "net.exe",
    "process_guid": "9b31b0c2-0e10-645a-797c-040000001300",
    "@timestamp": "2024-03-18T14:33:55.000000Z",
    "host": {
      "ip": "192.168.16.29",
      "name": "JM-CAN-026"
    },
    "parent_image": """C:\Windows\cmd.exe""",
    "mitre_technique_id": "T1124",
    "original_file_name": "",
    "event": {
      "action": "Process Create (rule: ProcessCreate)"
    },
    "user": "AndersonChristopher",
    "command_line": """C:\Windows\net.exe time"""
  }
}