Effectuer une action sur un incident de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Exécutez une Agent Client Collector Réponse aux incidents de sécurité action pour recueillir plus d’informations sur un incident de sécurité. Les actions sont appelées options dans le système et sont configurées avec le système de base.

    Avant de commencer

    Ajoutez le script JSON suivant à votre Agent Client Collector liste d’autorisation pour permettre l’exécution des actions fournies avec le système de base. 
    
{
  "args": [
    "--logger_min_status 1",
    "--json",
    "SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, p.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid",
    "select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid",
    "select * from services order by service_type",
    "select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%:%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1",
    "select * from logged_in_users order by time"
  ],
  "exec": "osqueryi",
  "skip_arguments": false
}

    Rôle requis : sn_si.admin ou sn_si.basic

    Pourquoi et quand exécuter cette tâche

    Pour en savoir plus sur les fonctionnalités du système de base, reportez-vous à la section Agent Client Collector Réponse aux incidents de sécurité Options du.

    Procédure

    1. Accédez à Tous > Incident de sécurité > Incidents > Afficher les incidents.
    2. Sélectionnez un incident.
    3. Dans la section Liens connexes, sélectionnez Options d’Agent Client Collector.
      La boîte de dialogue Options d’Agent Client Collector s’ouvre.
    4. Sélectionnez l’aptitude que vous souhaitez exécuter.
      Tableau 1. Options d'Agent Client Collector
      Champ Description
      Options d'intégration ACC Options d’intégration ACC.

      Si l’option sélectionnée est « Exécuter OSQuery sur l’agent », les données sont formatées sous forme de tableau dans les notes de travail.
      OSQuery d'intégration ACC osquery d’intégration ACC. Par exemple, Colonnes d’informations système sélectionnées.
      Case à cocher Transposer les données Transposez les données.

      Lorsque cette option est sélectionnée, les informations s’affichent avec des colonnes verticales.

      Transposer l’élément sélectionné

      Lorsqu’elle est claire, les informations s’affichent horizontalement.

      Transposition effacée
    5. Sélectionnez Envoyer.
      L’aptitude sélectionnée s’exécute sur le CI de l’incident de sécurité.