セキュリティインシデントの CI に関する情報を収集する OSQuery を定義します。OSQuery は、OS テーブルの上に SQL レイヤーを提供し、ベースシステムの一部として エージェントクライアントコレクター と一緒にバンドルされています。
手順
-
移動先 .
-
[新規] を選択します。
[ACC 統合 OSQuery - 新規レコード (ACC Integration OSQuery - New Record)] ページが表示されます。
-
ページの各フィールドを構成します。
表 : 1. ACC 統合 OSQuery
| フィールド |
説明 |
| 名前 |
クエリの記述名 |
| クエリ |
クエリー文字列。 |
-
作成しているクエリが機能することを検証するには、[OSQuery のテスト (Test OSQuery)] を選択します。
[Test OSQuery] ページが表示されます。
表 : 2. OSQuery のテスト
| フィールド |
説明 |
| エージェント |
クエリ実行時の特定のエンドポイント。 |
-
テストの結果が表示される特定のエンドポイントエージェントを入力します。
成功した場合
出力が多すぎます
または発生したエラー (エラーメッセージが sn_si.admin に表示されます)
-
[送信] を選択します。
OSQuery はターゲットマシンに関する情報を収集し、インシデントコマンドがオペレーティングシステム別に一覧表示されます。たとえば、select * from system_info として定義されたクエリは、OSQuery system_info テーブルからすべての情報を収集します。