Führen Sie SQL-basierte Abfragen auf den angegebenen Endpunkten aus, um die Untersuchung von Bedrohungen und die Reaktion auf Vorfälle zu unterstützen. Verwenden Sie diese Aufgabe aus Forensics-Arbeitsbereichen oder den Kontextmenüs in Workbench, Observed Attack Techniques und XDR Data Explorer.
Nachdem Sie einen Arbeitsbereich erstellt und Endpunkte zum Arbeitsbereich hinzugefügt haben in der Forensics-App, können Sie detaillierte Beweise von potenziell kompromittierten Endpunkten für
interne Untersuchungen zu kritischen Vorfällen sammeln, die in Ihrem Netzwerk aufgetreten
sind und möglicherweise weitere Aufmerksamkeit erfordern.
Die folgenden Dienste unterstützen diese Aufgabe:
-
Trend Vision One
-
Linux-Agent
-
macOS-Agent
-
Windows-Agent
-
Diese Aufgabe verwendet osquery 5.7.0. Für weitere Informationen zur in osquery 5.7.0
verwendeten SQL-Syntax siehe osquery-Dokumentation.
Prozedur
- Navigieren Sie in der Trend Vision One Konsole zu .
- Klicken Sie auf den Namen des Arbeitsbereichs, der die Endpunkte enthält, die Sie triagieren möchten.
- Wählen Sie einen oder mehrere Endpunkte aus der Liste aus. Die ausgewählten Endpunkte müssen alle dasselbe Betriebssystem verwenden.
- Klicken Sie auf Run osquery.
Hinweis
Sie können diese Reaktionsmaßnahme auch über das Kontextmenü in XDR Data Explorer, Workbench und Observed Attack Techniques ausführen. - Konfigurieren Sie die Aufgabe.
-
Klicken Sie auf Select a query, halten Sie bei einer Abfrage an, um deren Details anzuzeigen, wählen Sie eine Abfrage aus und klicken Sie auf Fortfahren.
-
Um eine neue Abfrage zur Auswahlliste hinzuzufügen, gehen Sie zu osquery auf der Response Scripts-Registerkarte des Response Managements. Klicken Sie auf Add query, um das Betriebssystem anzugeben, eine neue Abfrage einzugeben und die Abfragesyntax zu validieren.
-
Klicken Sie auf Input a query, geben Sie eine Abfrage ein und klicken Sie auf Validate query.
Tipp
Verwenden Sie Companion, um osquery-Abfragen zu erstellen, indem Sie auf Generate osquery Query (
) klicken.
- Geben Sie einen Beschreibung für die Antwort oder das Ereignis an.
- Klicken Sie auf Erstellen.
- Im Multi-factor authentication (MFA)-Fenster fügen Sie den Bestätigungscode ein und klicken Sie auf Absenden.MFA ist für jede osquery-Aufgabe erforderlich, auch wenn die Genehmigungseinstellungen des Response Managements eine automatische Genehmigung zulassen.Wenn die Authentifizierung erfolgreich ist, erscheint die Aufgabe in der Aufgabenliste des Antwortmanagements.
Tipp
Für Antwortaufgaben, die über das Kontextmenü in XDR Data Explorer erstellt wurden, klicken Sie auf das View details in Forensics-Symbol (
) im Response ManagementTask List, um direkt zu zu gelangen.
-
- Überwachen Sie den Aufgabenstatus.
- Klicken Sie im Arbeitsbereich, der die Endpunkte enthält, die Sie triagieren, auf
- Wählen Sie osquery.
- Verwenden Sie Task name, um die Aufgabe zu finden.
- Zeigen Sie den Aufgabenstatus an.
-
Wird ausgeführt (
): Trend Vision One hat den Befehl gesendet und wartet auf eine Antwort. -
In Warteschlange (
): Der Verwaltungsserver hat den Befehl in die Warteschlange gestellt, weil der Agent
offline war. -
Erfolgreich (
): Der Befehl wurde erfolgreich ausgeführt. -
Nicht erfolgreich (
): Beim Versuch, den Befehl an den Verwaltungsserver zu senden, ist ein Fehler oder
ein Zeitüberschreitung aufgetreten, der Agent ist seit mehr als 24 Stunden offline
oder die Befehlsausführung hat die Zeit überschritten.
-
- Wenn die Aufgabe erfolgreich ist, klicken Sie auf
, um das Passwort zu kopieren und zu speichern, und klicken Sie dann auf Herunterladen, um die Archivdatei der Aufgabe zu erhalten.