エージェントクライアントコレクター セキュリティインシデントレスポンス OSQuery を実行する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:1分

    • インシデントによって参照されるマシンで OSQuery を実行し、各インシデントの CI に関する情報を取得します。たとえば、select * from system_info クエリをインシデントで実行した場合、クエリは OSQuery system_info テーブルからすべての情報を収集します。

    始める前に

    必要なロール:sn_si.admin または sn_si.basic

    手順

    1. 次のように移動する。 All (すべて) > セキュリティインシデント > インシデント > すべてのインシデントを表示.
    2. インシデントを選択します。
    3. [関連リンク] セクションで、[構成アイテム] リストに移動し、情報を取得する各インシデントの CI を選択します。
    4. 右クリックメニューから、[ACC OSQuery の実行 (Run ACC OSQuery)] を選択します。
      [実行する OSQuery (OSQuery to run)] ダイアログボックスが開きます。
    5. 実行するクエリの名前を選択します。
      使用可能なクエリは、エージェントクライアントコレクター セキュリティインシデントレスポンス OSQuery を作成する で説明されているように、[ACC 統合 OSQuery (ACC Integration OSQuery)] ページで設定されたものです。オプションは、[名前] の値に応じて選択可能です。
    6. [送信] を選択します。
      クエリは、選択したセキュリティインシデントの各 CI で実行されます。