Définissez une requête OSQuery pour collecter des informations sur le CI d'un incident de sécurité. La requête OSQuery, qui fournit une couche SQL au-dessus des tables du système d'exploitation, est livrée avec Agent Client Collector dans le cadre du système de base.
Avant de commencer
Rôle requis : sn_si.admin
Procédure
-
Accédez à la .
-
Sélectionnez Nouveau.
La page OSQuery d'intégration ACC - Nouvel enregistrement s'affiche.
-
Configurez les champs de la page.
Tableau 1. Commande OSQuery d'intégration ACC
| Champ |
Description |
| Nom |
Nom descriptif de la requête. |
| Requête |
Chaîne de requête. |
-
Pour vérifier que la requête que vous écrivez fonctionne, sélectionnez Tester OSQuery.
La page
Tester OSQuery s'affiche.
Tableau 2. Tester OSQuery
| Champ |
Description |
| Agent |
Point de terminaison spécifique où la requête est exécutée. |
-
Spécifiez l'agent de point de terminaison spécifique dans lequel le résultat du test s'affiche.
Le test a réussi
Résultat trop volumineux
Une erreur s'est produite avec le message d'erreur affiché pour sn_si.admin.
-
Sélectionnez Soumettre.
Les requêtes OSQuery collectent des informations sur l'ordinateur cible, où les commandes d'incident sont répertoriées par le système d'exploitation. Par exemple, une requête définie en tant que select * from system_info collecte toutes les informations de la table system_info de la requête OSQuery.