보안 인시던트에서 작업 수행
Agent Client Collector 보안 인시던트 응답 작업을 실행하여 보안 인시던트에 대한 자세한 정보를 수집합니다. 작업은 시스템에서 기능을 의미하여, 기본 시스템과 함께 구성됩니다.
시작하기 전에
기본 시스템과 함께 제공되는 작업을 실행할 수 있도록 Agent Client Collector 허용 목록에 다음 JSON 스크립트를 추가합니다.
{
"args":[
"--logger_min_status 1",
"--json",
“/”SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, u.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid/””,
“/”select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid/””,
“/”select * from services order by service_type/””,
“/”select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%.%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1/””,
“/”select * from logged_in_users order by time/””
],
"exec":"osqueryi",
"skip_arguments":false
}필요한 역할: sn_si.admin 또는 sn_si.basic
이 태스크 정보
프로시저
-
실행할 기능을 선택합니다.
표 1. Agent Client Collector 기능 필드 설명 ACC 통합 기능 ACC 통합 기능입니다. 선택한 기능이 "에이전트에서 OSQuery 실행"인 경우 데이터는 작업 메모 내에 표 형식으로 지정됩니다.
ACC 통합 OSQuery ACC 통합 OSQuery입니다. 예를 들어 선택한 시스템 정보 열입니다. 데이터 바꾸기 확인란 데이터를 바꿉니다. 선택하면 정보가 세로 열과 함께 표시됩니다.
선택 취소하면 정보가 가로로 표시됩니다