보안 인시던트에서 작업 수행

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 에이전트 클라이언트 수집기 보안 인시던트 응답 작업을 실행하여 보안 인시던트에 대한 자세한 정보를 수집합니다. 작업은 시스템에서 기능을 의미하여, 기본 시스템과 함께 구성됩니다.

    시작하기 전에

    기본 시스템과 함께 제공되는 작업을 실행할 수 있도록 에이전트 클라이언트 수집기 허용 목록에 다음 JSON 스크립트를 추가합니다. 
    {
    "args":[
      "--logger_min_status 1",
      "--json",
      “/”SELECT p.name, p.state, p.pid, p.parent as ppid, p.path, p.total_size, p.start_time, p.elapsed_time as run_time, p.cmdline, p.uid, u.username, u.type as owner_domain, u.uuid FROM processes as p LEFT JOIN users as u ON u.uid = p.uid/””,
      “/”select name, process_open_sockets.pid, parent as ppid, processes.path, process_open_sockets.state, total_size, process_open_sockets.protocol, local_address, local_port, remote_address, remote_port from process_open_sockets, processes where process_open_sockets.pid = processes.pid/””,
      “/”select * from services order by service_type/””,
      “/”select computer_name, hardware_serial, hostname, name as os, build, version, mac, address from system_info, os_version, interface_details, interface_addresses where address like '%.%' and interface_addresses.type='manual' or interface_addresses.type ='dhcp' limit 1/””,
      “/”select * from logged_in_users order by time/””
    ],
    "exec":"osqueryi",
    "skip_arguments":false
  }

    필요한 역할: sn_si.admin 또는 sn_si.basic

    이 태스크 정보

    기본 시스템과 함께 제공되는 기능에 대한 자세한 내용은 에이전트 클라이언트 수집기 보안 인시던트 응답 기능 문서를 참조하십시오.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 인시던트 > 모든 인시던트 표시.
    2. 인시던트를 선택합니다.
    3. 관련 링크 섹션에서 에이전트 클라이언트 수집기 기능을 선택합니다.
      에이전트 클라이언트 수집기 기능 대화 상자가 열립니다.
    4. 실행할 기능을 선택합니다.
      표 1. 에이전트 클라이언트 수집기 기능
      필드 설명
      ACC 통합 기능 ACC 통합 기능입니다.

      선택한 기능이 "에이전트에서 OSQuery 실행"인 경우 데이터는 작업 메모 내에 표 형식으로 지정됩니다.
      ACC 통합 OSQuery ACC 통합 OSQuery입니다. 예를 들어 선택한 시스템 정보 열입니다.
      데이터 바꾸기 확인란 데이터를 바꿉니다.

      선택하면 정보가 세로 열과 함께 표시됩니다.

      바꾸기 선택

      선택 취소하면 정보가 가로로 표시됩니다

      바꾸기 선택 취소
    5. 제출을 선택합니다.
      선택한 기능은 보안 인시던트의 CI에서 실행됩니다.