Mit Agent Client Collector Security Incident Response (ACC-SIR) können Sie die Datenerfassungs- und Antwortaktionen für die Erweiterung von Security Incidents mit Agent Client Collector automatisieren. Diese Funktionalität wird durch Security Operations Security Incident Response (SIR) gemessen.

Wählen Sie aus einer Liste von Aktionen (Fähigkeiten), die mit dem Basissystem bereitgestellt werden, damit sie für Security Incidents ausgeführt werden können. Von der Agent Client Collector Security Incident Response-Funktionalität werden die Prüfungsdefinitionen util.command.agent und util.osquery.agent (ausgeführt von der Agent Client Collector-Spoke) dazu verwendet, Befehle und Betriebssystemabfragen für Security Incidents auszuführen. Fähigkeiten sind Teil vorhandener System-Subflows in der Agent Client Collector Security Incident Response-Integrations-App. Sie können auch benutzerdefinierte Befehle und OSquery-SQL-Abfragen hinzufügen, die für die Security Incidents ausgeführt werden.