Exécuter une requête OSQuery Agent Client Collector Réponse aux incidents de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Exécutez une requête OSQuery sur un ordinateur référencé par un incident pour récupérer des informations sur le CI de chaque incident. Par exemple, si vous exécutez une requête select * from system_info sur un incident, celle-ci collecte toutes les informations de la table system_info de la requête OSQuery.

    Avant de commencer

    Rôle requis : sn_si.admin ou sn_si.basic

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Incidents > Afficher les incidents.
    2. Sélectionnez un incident.
    3. Dans la section Liens connexes, accédez à la liste Éléments de configuration et sélectionnez les CI de chaque incident dont vous souhaitez récupérer les informations.
    4. Dans le menu contextuel, sélectionnez Exécuter ACC OSQuery.
      La boîte de dialogue OSQuery à exécuter s'ouvre.
    5. Sélectionnez le nom de la requête que vous souhaitez exécuter.
      Les requêtes disponibles sont celles configurées sur la page Commande OSQuery d'intégration ACC, comme décrit à la rubrique Créer une requête OSQuery Agent Client Collector Réponse aux incidents de sécurité. Vous pouvez sélectionner les options en fonction de leur valeur Nom.
    6. Sélectionnez Soumettre.
      La requête s'exécute sur chaque CI de l'incident de sécurité sélectionné.