Definieren Sie eine OSQuery, um Informationen zum CI eines Security Incidents zu sammeln. OSQuery bietet eine SQL-Ebene über BS-Tabellen und ist zusammen mit gebündelt Agent Client CollectorAls Teil des Basissystems.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Prozedur
-
Navigieren zu an.
-
Wählen Sie Neu.
Die ACC-Integrations-OSQuery: Neuer Datensatz Seite wird angezeigt.
-
Konfigurieren Sie die Felder auf der Seite.
Tabelle : 1. ACC-Integration – OSQuery
| Feld |
Beschreibung |
| Name |
Ein beschreibender Name für die Abfrage. |
| Abfrage |
Die Abfragezeichenfolge. |
-
Wählen Sie aus, um zu überprüfen, ob die von Ihnen geschriebene Abfrage funktioniert OSQuery testen .
Die
OSQuery testen Seite wird angezeigt.
Tabelle : 2. OSQuery testen
| Feld |
Beschreibung |
| Service Desk-Mitarbeiter |
Der spezifische Endpunkt, an dem die Abfrage ausgeführt wird. |
-
Geben Sie den spezifischen Endpunkt-Agent ein, an dem das Testergebnis angezeigt wird.
Wenn dies erfolgreich war
Ausgabe zu groß
Oder ein Fehler ist aufgetreten, wenn die Fehlermeldung „sn_si.admin“ angezeigt wurde.
-
Wählen Sie Absenden.
OSQueries erfassen Informationen auf dem Zielcomputer, auf dem die Incident-Befehle nach Betriebssystem aufgelistet werden. Beispiel: Eine Abfrage, die als definiert ist Wählen Sie * aus System_Info aus Sammelt alle Informationen aus der OSQuery system_infoTabelle.