Führen Sie eine aus Agent Client Collector Security Incident ResponseOSQuery

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Führen Sie eine OSQuery auf einem Computer aus, auf den ein Incident verweist, um Informationen zum CI jedes Incidents abzurufen. Beispiel: Wenn Sie eine ausführen Wählen Sie * aus System_Info aus Abfrage eines Incidents. Die Abfrage erfasst alle Informationen aus der OSQuery system_infoTabelle.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin oder sn_si.Basic

    Prozedur

    1. Navigieren zu Alle > Security Incident > Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie einen Incident aus.
    3. Wechseln Sie im Abschnitt zugehörige Links zu Konfigurationselemente Listen Sie die CIs der einzelnen Incidents auf, die Sie abrufen möchten, und wählen Sie sie aus.
    4. Wählen Sie im Kontextmenü aus Führen Sie ACC OSQuery aus
      Die Auszuführende OSQuery Dialogfeld wird geöffnet.
    5. Wählen Sie den Namen der Abfrage aus, die Sie ausführen möchten.
      Die verfügbaren Abfragen sind diejenigen, die auf der Seite „ACC-Integration – OSQuery“ konfiguriert sind, wie unter beschrieben Erstellen Sie einen Agent Client Collector Security Incident ResponseOSQuery. Optionen können entsprechend ihrem Namenswert ausgewählt werden.
    6. Wählen Sie Absenden.
      Die Abfrage wird für jedes der ausgewählten Security Incident-CIs ausgeführt.