에이전트 클라이언트 수집기 보안 인시던트 응답 OSQuery 생성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • OSQuery를 정의하여 보안 인시던트의 CI에 대한 정보를 수집합니다. OSQuery는 OS 테이블 위에 SQL 레이어를 제공하며 기본 시스템의 일부로 에이전트 클라이언트 수집기와 함께 제공됩니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 다음으로 이동 모두 > 에이전트 클라이언트 수집기 SIR 통합 > ACC 통합 OSQuery.
    2. 새로 만들기를 선택합니다.
      ACC 통합 OSQuery - 새 기록 페이지가 나타납니다.
    3. 페이지에서 필드를 구성합니다.
      표 1. ACC 통합 OSQuery
      필드 설명
      이름 쿼리를 설명하는 이름입니다.
      쿼리 쿼리 문자열입니다.
    4. 작성 중인 쿼리가 작동하는지 확인하려면 OSQuery 테스트를 선택합니다.
      OSQuery 테스트 페이지가 나타납니다.
      표 2. OSQuery 테스트
      필드 설명
      에이전트 쿼리가 실행되는 특정 엔드포인트입니다.
    5. 테스트 결과가 표시되는 특정 엔드포인트 에이전트를 입력합니다.
    • 성공 성공한 경우
    • 큼 너무 큰 출력
    • 오류 sn_si.admin에 오류 메시지가 표시되면서 오류 발생
    1. 제출을 선택합니다.
      OSQueries는 운영 체제에서 인시던트 명령을 나열하는 대상 머신에 대한 정보를 수집합니다. 예를 들어 select * from system_info로 정의된 쿼리는 OSQuery system_info 테이블에서 모든 정보를 수집합니다.