0

我将以下计划查询与 TLS 插件记录器结合使用。

"vssadmin.exe": {
        "query": "select * from file WHERE directory = 'C:\\Windows\\Prefetch\\' and filename like '%vssadmin%';",
        "interval": 600,
        "description": "Vssadmin Execute, usaullay used to execute activity on Volume Shadow copy",
        "platform": "windows"
    },

我想将描述字段添加到此特定查询的结果输出日志中,以便我可以使用它将我的查询映射到框架。不幸的是,提供的文档没有说明这样的选项。是否可以将描述或其他自定义字段添加到记录的输出中?

4

1 回答 1

2

像这样?

使用 MITRE ATT&CK ID 标记您的#osquery 查询/日志,如下所示:

SELECT username,shell, 'T1136' AS attckID FROM users;

在此处输入图像描述

于 2021-02-02T13:24:01.320 回答