セキュリティインシデントに対するアクションを実行
エージェントクライアントコレクター セキュリティインシデントレスポンス アクションを実行して、セキュリティインシデントに関する詳細情報を収集します。アクションはシステム内で [機能] と呼ばれ、ベースシステムで設定されます。
始める前に
次の JSON スクリプトを エージェントクライアントコレクター 許可リストに追加して、ベースシステムに搭載されているアクションの実行を可能にします。
{
"args": [
"--logger_min_status 1",
"--json",
"SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, p.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid",
"select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid",
"select * from services order by service_type",
"select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%:%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1",
"select * from logged_in_users order by time"
],
"exec": "osqueryi",
"skip_arguments": false
}必要なロール:sn_si.admin または sn_si.basic
このタスクについて
手順
-
実行する機能を選択します。
表 : 1. エージェントクライアントコレクターの機能 フィールド 説明 ACC 統合機能 ACC 統合機能。 必要な機能が [エージェントで Osquery を実行] である場合、作業メモ内のデータは表形式になります。
ACC 統合 OSQuery ACC 統合 OSQuery。例:選択したシステム情報の列。 [データの転置 (Transpose Data)] チェックボックス データを転置します。 選択すると、情報が垂直の列で表示されます。
クリアすると、情報は水平に表示されます。