Executar um Agent Client Collector Resposta a incidentes de segurança OSQuery

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Execute um OSQuery em uma máquina referenciada por um incidente para recuperar informações sobre o IC de cada incidente. Por exemplo, se você executar uma consulta select * from system_info em um incidente, a consulta reunirá todas as informações da tabela OSQuery system_info.

    Antes de Iniciar

    Função necessária: sn_si.admin ou sn_si.basic

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Incidentes > Mostrar todos os incidentes.
    2. Selecione um incidente.
    3. Na seção Links relacionados, acesse a lista Itens de configuração e selecione os ICs de cada incidente cujas informações você deseja recuperar.
    4. No menu do botão direito do mouse, selecione Executar ACC OSQuery
      A caixa de diálogo OSQuery para executar é aberta.
    5. Selecione o nome da consulta que você deseja executar.
      As consultas disponíveis são aquelas configuradas na página OSQuery de integração do ACC, conforme descrito em Criar um Agent Client Collector Resposta a incidentes de segurança OSQuery. As opções são selecionáveis de acordo com o valor de Nome.
    6. Selecione Enviar.
      A consulta é executada em cada um dos ICs do incidente de segurança selecionado.