Exécuter un Agent Client Collector Réponse aux incidents de sécurité osquery

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Exécutez un OSQuery sur un ordinateur référencé par un incident pour récupérer des informations sur le CI de chaque incident. Par exemple, si vous exécutez une requête select * from system_info sur un incident, la requête rassemble toutes les informations de la table OSQuery system_info .

    Avant de commencer

    Rôle requis : sn_si.admin ou sn_si.basic

    Procédure

    1. Accédez à Tous > Incident de sécurité > Incidents > Afficher les incidents.
    2. Sélectionnez un incident.
    3. Dans la section Liens connexes, accédez à la liste Éléments de configuration et sélectionnez les CI de chaque incident dont vous souhaitez récupérer les informations.
    4. Dans le menu contextuel, sélectionnez Exécuter ACC OSQuery
      La boîte de dialogue OSQuery à exécuter s’ouvre .
    5. Sélectionnez le nom de la requête que vous souhaitez exécuter.
      Les requêtes disponibles sont celles configurées sur la page OSQuery d’intégration ACC, comme décrit dans .Créer un Agent Client Collector Réponse aux incidents de sécurité osquery Les options peuvent être sélectionnées en fonction de leur valeur Name.
    6. Sélectionnez Envoyer.
      La requête s’exécute sur chacun des CI d’incident de sécurité sélectionnés.