Execute um Agent Client Collector Resposta a incidentes de segurançaOSQuery

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Execute um OSQuery em uma máquina referenciada por um incidente para recuperar informações sobre o IC de cada incidente. Por exemplo, se você executar um selecione * de system_info Em um incidente, a consulta reúne todas as informações do OSQuery system_infotabela.

    Antes de Iniciar

    Função necessária: sn_si.admin ou sn_si.basic

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Incidentes > Mostrar todos os incidentes.
    2. Selecione um incidente.
    3. Na seção Links relacionados, acesse Itens de configuração Liste e selecione os ICs de cada incidente que você deseja recuperar as informações.
    4. No menu de clique com o botão direito do mouse, selecione Execute acc OSQuery
      . OSQuery a ser executado a caixa de diálogo é aberta.
    5. Selecione o nome da consulta que você deseja executar.
      As consultas disponíveis são aquelas configuradas na página OSQuery de integração do ACC, conforme descrito em Crie um Agent Client Collector Resposta a incidentes de segurançaOSQuery. As opções são selecionáveis de acordo com o valor do Nome.
    6. Selecione Enviar.
      A consulta é executada em cada um dos ICs do incidente de segurança selecionados.