是否可以在查询结果日志中添加描述或其他自定义字段?

编程问答 2022-05-27

问题描述

我将以下计划查询与 TLS 插件记录器结合使用。

"vssadmin.exe": {
        "query": "select * from file WHERE directory = 'C:\\Windows\\Prefetch\\' and filename like '%vssadmin%';","interval": 600,"description": "Vssadmin Execute,usaullay used to execute activity on Volume Shadow copy","platform": "windows"
    },

我想将描述字段添加到此特定查询的结果输出日志中,以便我可以使用它来将我的查询映射到框架。不幸的是,提供的文档没有说明这样的选项。是否可以将描述或其他自定义字段添加到记录的输出中?

解决方法

喜欢吗?

使用 MITRE ATT&CK ID 标记您的 #osquery 查询/日志,如下所示:

SELECT username,shell,'T1136' AS attckID FROM users;

enter image description here

osquery

相关问答

导入项目后报错问题
依赖报错 idea导入项目后依赖报错,解决方案:https://blog....
idea不能识别yaml文件
使用mybatis plus常见错误
错误1:代码生成器依赖和mybatis依赖冲突 启动项目时报错如下...
gradle常见问题与错误
错误1:gradle项目控制台输出为乱码 # 解决方案:https://bl...
Mybatis Plus传入参数0不起作用
错误还原:在查询的过程中,传入的workType为0时,该条件不起...
linux中make编译源码包失败
报错如下,gcc版本太低 ^ server.c:5346:31: 错误:‘struct...