Effectuer une action sur un incident de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Exécutez une action Agent Client Collector Réponse aux incidents de sécurité pour collecter des informations supplémentaires sur un incident de sécurité. Les actions sont appelées options dans le système et sont configurées avec le système de base.

    Avant de commencer

    Ajoutez le script JSON suivant à votre liste d'autorisation Agent Client Collector pour activer l'exécution des actions livrées avec le système de base. 
    
{
  "args": [
    "--logger_min_status 1",
    "--json",
    "SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, p.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid",
    "select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid",
    "select * from services order by service_type",
    "select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%:%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1",
    "select * from logged_in_users order by time"
  ],
  "exec": "osqueryi",
  "skip_arguments": false
}

    Rôle requis : sn_si.admin ou sn_si.basic

    Pourquoi et quand exécuter cette tâche

    Pour en savoir plus sur les options livrées avec le système de base, consultez la rubrique Options d'Agent Client Collector Réponse aux incidents de sécurité.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Incidents > Afficher les incidents.
    2. Sélectionnez un incident.
    3. Dans la section Liens connexes, sélectionnez Options d'Agent Client Collector.
      La boîte de dialogue Options d'Agent Client Collector s'ouvre.
    4. Sélectionnez l'option que vous souhaitez exécuter.
      Tableau 1. Options d'Agent Client Collector
      Champ Description
      Options d'intégration ACC Les options d'intégration ACC.

      Si l'option sélectionnée est « Exécuter OSQuery sur l'agent », les données sont formatées sous forme de tableau dans les notes de travail.
      Commande OSQuery d'intégration ACC La commande OSQuery d'intégration ACC. Par exemple, colonnes d'informations système sélectionnées.
      Case à cocher Transposer les données Transposez les données.

      Lorsque cette option est sélectionnée, les informations s'affichent avec des colonnes verticales.

      Option Transposer sélectionnée

      Lorsque cette option est désactivée, les informations s'affichent horizontalement.

      Option Transposer désactivée
    5. Sélectionnez Soumettre.
      L'option sélectionnée s'exécute sur le CI de l'incident de sécurité.