Effectuer une action sur un incident de sécurité

Gestion des opérations informatiques à Washington DC

Release

washingtondc

ft:locale

fr-FR

ft:publication_title

Gestion des opérations informatiques à Washington DC

ft:clusterId

itom

bundleId

itom

workflow

Technology

Effectuer une action sur un incident de sécurité

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

1 minute de lecture

Exécutez une action Agent Client Collector Réponse aux incidents de sécurité pour collecter des informations supplémentaires sur un incident de sécurité. Les actions sont appelées options dans le système et sont configurées avec le système de base.

Avant de commencer

Ajoutez le script JSON suivant à votre liste d'autorisation Agent Client Collector pour activer l'exécution des actions livrées avec le système de base.

{
    "args":[
      "--logger_min_status 1",
      "--json",
      “/”SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, u.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid/””,
      “/”select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid/””,
      “/”select * from services order by service_type/””,
      “/”select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%.%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1/””,
      “/”select * from logged_in_users order by time/””
    ],
    "exec":"osqueryi",
    "skip_arguments":false
  }

Rôle requis : sn_si.admin ou sn_si.basic

Pourquoi et quand exécuter cette tâche

Pour en savoir plus sur les options livrées avec le système de base, consultez la rubrique Options d'Agent Client Collector Réponse aux incidents de sécurité.

Procédure

Accédez à la Tous > Incident de sécurité > Incidents > Afficher tous les incidents.
Sélectionnez un incident.
Dans la section Liens connexes, sélectionnez Options d'Agent Client Collector.
La boîte de dialogue Options d'Agent Client Collector s'ouvre.

Sélectionnez l'option que vous souhaitez exécuter.

Tableau 1. Options d'Agent Client Collector
Champ	Description
Options d'intégration ACC	Les options d'intégration ACC. Si l'option sélectionnée est « Exécuter OSQuery sur l'agent », les données sont formatées sous forme de tableau dans les notes de travail.
Commande OSQuery d'intégration ACC	La commande OSQuery d'intégration ACC. Par exemple, colonnes d'informations système sélectionnées.
Case à cocher Transposer les données	Transposez les données. Lorsque cette option est sélectionnée, les informations s'affichent avec des colonnes verticales. Lorsque cette option est désactivée, les informations s'affichent horizontalement.

Sélectionnez Soumettre.
L'option sélectionnée s'exécute sur le CI de l'incident de sécurité.