Defina um OSQuery para coletar informações sobre o IC de um incidente de segurança. O OSQuery fornece uma camada SQL sobre as tabelas do SO e é agrupado com o Agent Client Collector como parte do sistema de base.
Antes de Iniciar
Função necessária: sn_si.admin
Procedimento
-
Navegar até .
-
Selecione Novo.
A página OSQuery de integração do ACC - Novo registro é exibida.
-
Configure os campos na página.
Tabela 1. OSQuery da integração ACC
| Campo |
Descrição |
| Nome |
Um nome descritivo para a consulta. |
| Consulta |
A cadeia de caracteres de consulta. |
-
Para validar se a consulta que você está escrevendo funciona, selecione Testar OSQuery.
A página
Testar OSQuery é exibida.
Tabela 2. Testar OSQuery
| Campo |
Descrição |
| Agente |
O endpoint específico em que a consulta é executada. |
-
Insira o agente de endpoint específico em que o resultado do teste é exibido.
- bem-
Se foi bem-sucedido
-
muito grande de uma saída
- ocorreu um
ou ocorreu um erro com a mensagem de erro exibida para o sn_si.admin.
-
Selecione Enviar.
OSQueries coletam informações na máquina de destino, em que os comandos de incidente são listados por sistema operacional. Por exemplo, uma consulta definida como select * from system_info reúne todas as informações da tabela OSQuery system_info.