에이전트 클라이언트 수집기 보안 인시던트 응답 OSQuery 실행

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 인시던트에서 참조하는 머신에서 OSQuery를 실행하여 각 인시던트의 CI에 대한 정보를 검색합니다. 예를 들어 인시던트에서 select * from system_info 쿼리를 실행하면 쿼리는 OSQuery system_info 테이블에서 모든 정보를 수집합니다.

    시작하기 전에

    필요한 역할: sn_si.admin 또는 sn_si.basic

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 인시던트 > 모든 인시던트 표시.
    2. 인시던트를 선택합니다.
    3. 관련 링크 섹션에서 구성 항목 목록으로 이동하여 정보를 검색할 각 인시던트의 CI를 선택합니다.
    4. 마우스 오른쪽 버튼 클릭 메뉴에서 ACC OSQuery 실행을 선택합니다.
      실행할 OSQuery 대화 상자가 열립니다.
    5. 실행할 쿼리의 이름을 선택합니다.
      사용 가능한 쿼리는 에이전트 클라이언트 수집기 보안 인시던트 응답 OSQuery 생성에 설명된 대로 ACC 통합 OSQuery 페이지에서 구성한 쿼리입니다. 옵션은 이름 값에 따라 선택할 수 있습니다.
    6. 제출을 선택합니다.
      쿼리가 선택한 각 보안 인시던트의 CI에서 실행됩니다.