Executar um Agent Client Collector Security Incident Response OSQuery

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Execute um OSQuery em uma máquina referenciada por um incidente para recuperar informações sobre o IC de cada incidente. Por exemplo, se você executar uma consulta select * from system_info em um incidente, a consulta reunirá todas as informações da tabela OSQuery system_info.

    Antes de Iniciar

    Função necessária: sn_si.admin ou sn_si.basic

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Incidentes > Mostrar todos os incidentes.
    2. Selecione um incidente.
    3. Na seção Links relacionados, acesse a lista Itens de configuração e selecione os ICs de cada incidente cujas informações você deseja recuperar.
    4. No menu do botão direito do mouse, selecione Executar ACC OSQuery
      A caixa de diálogo OSQuery para executar é aberta.
    5. Selecione o nome da consulta que você deseja executar.
      As consultas disponíveis são aquelas configuradas na página OSQuery de integração do ACC, conforme descrito em Criar um Agent Client Collector Security Incident Response OSQuery. As opções são selecionáveis de acordo com o valor de Nome.
    6. Selecione Enviar.
      A consulta é executada em cada um dos ICs do incidente de segurança selecionado.