Definieren Sie eine OSQuery, um Informationen zum CI eines Security Incident zu sammeln. OSQuery bietet eine SQL-Ebene zusätzlich zu BS-Tabellen und wird zusammen mit Agent Client Collector als Teil des Basissystems gebündelt.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Prozedur
-
Navigieren zu .
-
Wählen Sie Neu.
Die Seite ACC Integration OSQuery – New Record (ACC-Integrations-OSQuery – Neuer Datensatz) wird angezeigt.
-
Konfigurieren Sie die Felder auf der Seite.
Tabelle : 1. ACC Integration OSQuery (OSQuery-Abfrage der ACC-Integration)
| Feld |
Beschreibung |
| Name |
Ein beschreibender Name für die Abfrage |
| Abfrage |
Abfragezeichenfolge. |
-
Um zu überprüfen, ob die von Ihnen geschriebene Abfrage funktioniert, wählen Sie Test Osquery(Osquery testen) aus.
Die Seite
Test Osquery (Osquery testen) wird angezeigt.
Tabelle : 2. Test Osquery (Osquery testen)
| Feld |
Beschreibung |
| Mitarbeiter |
Der spezifische Endpunkt, an dem die Abfrage ausgeführt wird. |
-
Geben Sie den spezifischen Endpunkt-Agent ein, auf dem das Ergebnis des Tests angezeigt wird.
-
– im Erfolgsfall
-
– Ausgabe zu groß
-
– oder es ist ein Fehler mit der Fehlermeldung aufgetreten, die für den sn_si.admin angezeigt wird.
-
Wählen Sie Absenden aus.
Von OSQueries werden Informationen auf dem Zielcomputer erfasst, wobei die Incident-Befehle nach Betriebssystem aufgelistet sind. Beispielsweise werden von einer Abfrage, die als select * from system_info definiert ist, alle Informationen aus der OSQuery-Tabelle system_info abgerufen.