Execute uma ação em um incidente de segurança

Zurich IT Operations Management

Release

zurich

ft:locale

pt-BR

ft:publication_title

Zurich IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Execute uma ação em um incidente de segurança

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

1 min. de leitura

Execute um Agent Client Collector Resposta a incidentes de segurança ação para coletar mais informações sobre um incidente de segurança. As ações são referidas no sistema como . e são configurados com o sistema de base.

Antes de Iniciar

Adicione o script JSON a seguir ao seu Agent Client Collector lista de permissões, para habilitar a execução das ações que vêm com o sistema de base.


{
  "args": [
    "--logger_min_status 1",
    "--json",
    "SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, p.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid",
    "select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid",
    "select * from services order by service_type",
    "select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%:%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1",
    "select * from logged_in_users order by time"
  ],
  "exec": "osqueryi",
  "skip_arguments": false
}

Função necessária: sn_si.admin ou sn_si.basic

Por Que e Quando Desempenhar Esta Tarefa

Para obter detalhes sobre os recursos que vêm com o sistema de base, consulte Agent Client Collector Resposta a incidentes de segurança ..

Procedimento

Navegar até Tudo > Incidente de segurança > incidentes > Mostrar todos os incidentes.
Selecione um incidente.
Na seção Links relacionados, selecione Capacidades do Agent Client Collector .
. Capacidades do Agent Client Collector a caixa de diálogo é aberta.

Selecione a capacidade que você deseja executar.

Tabela 1. Capacidades do Agent Client Collector
Campo	Descrição
Capacidades de integração do ACC	Os recursos de integração do ACC. Se o recurso desejado selecionado for "Executar OSQuery no agente", os dados serão formatados em tabela nas anotações de trabalho.
OSQuery da integração ACC	Integração do ACC OSQuery. Por exemplo, colunas de informações do sistema selecionadas.
Caixa de seleção Transpor dados	Transpor os dados. Quando selecionado, as informações são exibidas com colunas verticais. Quando desmarcadas, as informações são exibidas horizontalmente.

Selecione Enviar.
A capacidade selecionada é executada no IC do incidente de segurança.