Executar uma ação em um incidente de segurança

Xanadu IT Operations Management

Release

xanadu

ft:locale

pt-BR

ft:publication_title

Xanadu IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Executar uma ação em um incidente de segurança

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

1 min. de leitura

Execute uma ação Agent Client Collector Security Incident Response para coletar mais informações sobre um incidente de segurança. As ações são chamadas de capacidadesno sistema e são configuradas com o sistema de base.

Antes de Iniciar

Adicione o seguinte script JSON à sua lista de permissões Agent Client Collector, para habilitar a execução das ações que vêm com o sistema de base.

{
    "args":[
      "--logger_min_status 1",
      "--json",
      “/”SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, u.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid/””,
      “/”select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid/””,
      “/”select * from services order by service_type/””,
      “/”select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%.%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1/””,
      “/”select * from logged_in_users order by time/””
    ],
    "exec":"osqueryi",
    "skip_arguments":false
  }

Função necessária: sn_si.admin ou sn_si.basic

Por Que e Quando Desempenhar Esta Tarefa

Para obter detalhes sobre os recursos que vêm com o sistema de base, consulte Agent Client Collector Security Incident Response capacidades.

Procedimento

Navegar até Todos > Incidente de segurança > Incidentes > Mostrar todos os incidentes.
Selecione um incidente.
Na seção Links relacionados, selecione Capacidades do Agent Client Collector.
A caixa de diálogo Capacidades do Agent Client Collector é aberta.

Selecione a capacidade que você deseja executar.

Tabela 1. Capacidades do Agent Client Collector
Campo	Descrição
Capacidades de integração do ACC	As capacidades de integração do ACC. Se a capacidade selecionada selecionada for "Executar OSQuery no agente", os dados serão formatados em tabela nas anotações de trabalho.
OSQuery da integração ACC	O OSQuery de integração do ACC. Por exemplo, Colunas de informações do sistema selecionadas.
Caixa de seleção Transpor dados	Transponha os dados. Quando selecionadas, as informações são exibidas com colunas verticais. Quando está claro, as informações são exibidas horizontalmente.

Selecione Enviar.
A capacidade selecionada é executada no IC do incidente de segurança.