Aktion für einen Security Incident ausführen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Führen Sie eine Agent Client Collector Security Incident Response-Aktion aus, um weitere Informationen zu einem Security Incident zu sammeln. Aktionen werden im System als Fähigkeiten bezeichnet und mit dem Basissystem konfiguriert.

    Vorbereitungen

    Fügen Sie das folgende JSON-Skript Ihrer Allow-Liste von Agent Client Collector hinzu, um die Ausführung der im Basissystem enthaltenen Aktionen zu ermöglichen. 
    {
    "args":[
      "--logger_min_status 1",
      "--json",
      “/”SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, u.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid/””,
      “/”select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid/””,
      “/”select * from services order by service_type/””,
      “/”select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%.%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1/””,
      “/”select * from logged_in_users order by time/””
    ],
    "exec":"osqueryi",
    "skip_arguments":false
  }

    Erforderliche Rolle: sn_si.admin oder sn_si.basic

    Warum und wann dieser Vorgang ausgeführt wird

    Weitere Informationen zu den Fähigkeiten, die mit dem Basissystem bereitgestellt werden, finden Sie unter Agent Client Collector Security Incident Response-Fähigkeiten.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigen.
    2. Wählen Sie einen Incident aus.
    3. Wählen Sie im Abschnitt „Zugehörige Links“ Agent Client Collector Capabilities (Agent Client Collector-Fähigkeiten) aus.
      Das Dialogfeld Agent Client Collector Capabilities (Agent Client Collector-Fähigkeiten) wird geöffnet.
    4. Wählen Sie die Fähigkeit aus, die Sie ausführen möchten.
      Tabelle : 1. Agent Client Collector-Fähigkeiten
      Feld Beschreibung
      ACC Integration Capabilities (ACC-Integrationsfähigkeiten) Die ACC-Integrationsfähigkeiten.

      Wenn die Fähigkeit „Osquery auf Agent ausführen“ ausgewählt ist, werden die Daten in den Arbeitsnotizen tabellarisch formatiert.
      ACC Integration OSQuery (OSQuery-Abfrage der ACC-Integration) Die Osquery-Abfrage der ACC-Integration. Beispiel: ausgewählte Systeminformationsspalten.
      Kontrollkästchen „Transpose Data“ (Daten transponieren) Transponieren Sie die Daten.

      Bei Auswahl werden die Informationen mit vertikalen Spalten angezeigt.

      Mit ausgewählter Option zum Transponieren

      Wenn diese Option deaktiviert ist, werden die Informationen horizontal angezeigt.

      Option zum Transponieren deaktiviert
    5. Wählen Sie Absenden aus.
      Die ausgewählte Fähigkeit wird für das CI des Security Incident ausgeführt.