Agent Client Collector Security Incident Response-OSQuery ausführen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Führen Sie eine Osquery auf einem Computer aus, auf den ein Incident verweist, um Informationen zum CI des jeweiligen Incidents abzurufen. Wenn Sie beispielsweise die Abfrage select * from system_info ausführen, werden mit der Abfrage alle Informationen aus der OSQuery-Tabelle system_info abgerufen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin oder sn_si.basic

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen.
    2. Wählen Sie einen Incident aus.
    3. Wechseln Sie im Abschnitt „Zugehörige Links“ zur Liste der Konfigurationselemente, und wählen Sie die CIs der einzelnen Incidents aus, für die Sie die Informationen abrufen möchten.
    4. Wählen Sie im Kontextmenü die Option Run ACC Osquery (ACC-Osquery ausführen) aus.
      Das Dialogfeld Osquery to run (Auszuführende Osquery) wird geöffnet.
    5. Wählen Sie den Namen der Abfrage aus, die Sie ausführen möchten.
      Die verfügbaren Abfragen sind diejenigen, die auf der Seite „ACC Integration Osquery“ (Osquery-Abfrage der ACC-Integration) konfiguriert sind, wie in Agent Client Collector Security Incident Response-OSQuery erstellen beschrieben. Optionen können entsprechend ihrem Wert für „Name“ ausgewählt werden.
    6. Wählen Sie Absenden aus.
      Die Abfrage wird für die CIs der jeweils ausgewählten Security Incidents ausgeführt.