Defina um OSQuery para coletar informações sobre o IC de um incidente de segurança. OSQuery fornece uma camada SQL sobre as tabelas do SO e é agrupado com o. Agent Client Collector como parte do sistema de base.
Antes de Iniciar
Função necessária: sn_si.admin
Procedimento
-
Navegar até .
-
Selecione Novo.
. Integração do ACC OSQuery - Novo registro a página é exibida.
-
Configure os campos na página .
Tabela 1. OSQuery da integração ACC
| Campo |
Descrição |
| Nome |
Um nome descritivo para a consulta. |
| Consulta |
A cadeia de caracteres de consulta. |
-
Para validar se a consulta que você está escrevendo funciona, selecione OSQuery de teste .
.
OSQuery de teste a página é exibida.
Tabela 2. Testar OSQuery
| Campo |
Descrição |
| Agente |
O endpoint específico em que a consulta é executada. |
-
Insira o Agente de endpoint específico em que o resultado do teste é exibido.
Se foi bem-sucedido
saída muito grande
Ou Ocorreu um erro com a mensagem de erro exibida para sn_si.admin.
-
Selecione Enviar.
OSQueries coletam informações na máquina de destino, onde os comandos de incidente são listados por sistema operacional. Por exemplo, uma consulta definida como selecione * em system_info Reúne todas as informações do OSQuery system_infotabela.