Executar um Agent Client Collector Security Incident Response OSQuery

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Execute um OSQuery em uma máquina referenciada por um incidente para recuperar informações sobre o IC de cada incidente. Por exemplo, se você executar uma consulta select * from system_info em um incidente, a consulta reunirá todas as informações da tabela OSQuery system_info.

    Antes de Iniciar

    Função necessária: sn_si.admin ou sn_si.basic

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Incidentes > Mostrar Todos os Incidentes.
    2. Selecione um incidente.
    3. Na seção Links relacionados, vá para a lista Itens de configuração e selecione os ICs de cada incidente para os quais você deseja recuperar as informações.
    4. No menu de clique com o botão direito do mouse, selecione Executar ACC OSQuery
      A caixa de diálogo OSQuery para executar é aberta.
    5. Selecione o nome da consulta que você deseja executar.
      As consultas disponíveis são aquelas configuradas na página OSQuery de integração do ACC, conforme descrito em Criar um Agent Client Collector Security Incident Response OSQuery. As opções são selecionáveis de acordo com o valor de Nome.
    6. Selecione Enviar.
      A consulta é executada em cada um dos ICs do incidente de segurança selecionado.