Ansichten:

Führen Sie SQL-basierte Abfragen auf den angegebenen Endpunkten aus, um die Bedrohungsuntersuchung und die Reaktion auf Vorfälle zu unterstützen.

Wichtig
Wichtig
  • Diese Aufgabe wird von den folgenden Diensten unterstützt:
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Diese Aufgabe verwendet osquery 5.7.0. Für weitere Informationen zur in osquery 5.7.0 verwendeten SQL-Syntax siehe osquery-Dokumentation.
Nachdem Sie einen Arbeitsbereich erstellt und Endpunkte zum Arbeitsbereich hinzugefügt haben in der Forensics-App, können Sie detaillierte Beweise von potenziell kompromittierten Endpunkten für interne Untersuchungen zu kritischen Vorfällen sammeln, die in Ihrem Netzwerk aufgetreten sind und möglicherweise weitere Aufmerksamkeit erfordern.

Prozedur

  1. Navigieren Sie in der Trend Vision One Konsole zu Agentic SIEM & XDRForensics.
  2. Klicken Sie auf den Namen des Arbeitsbereichs, der die Endpunkte enthält, die Sie triagieren möchten.
  3. Wählen Sie einen oder mehrere Endpunkte aus der Liste aus. Die ausgewählten Endpunkte müssen alle dasselbe Betriebssystem verwenden.
  4. Klicken Sie auf Run osquery.
    Hinweis
    Hinweis
    Sie können diese Antwort auch über das Kontextmenü in XDR Data Explorer, Workbench und Observed Attack Techniques ausführen.
    Das Fenster Run osquery Task wird angezeigt.
  5. Konfigurieren Sie die Aufgabe.
    1. Verwenden Sie die Optionsfelder, um entweder eine vorhandene SQL-Abfrage auszuwählen oder eine neue Abfrage einzugeben.
      • Wählen Sie Select a query: Klicken Sie auf Select a query, halten Sie bei einer Abfrage an, um deren Details anzuzeigen, wählen Sie eine Abfrage aus und klicken Sie auf Fortfahren.
        Um eine neue Abfrage zur Auswahlliste hinzuzufügen, gehen Sie zu osquery auf der Response Scripts-Registerkarte des Response Managements. Klicken Sie auf Add query, um das Betriebssystem anzugeben, eine neue Abfrage einzugeben und die Abfragesyntax zu validieren.
      • Wählen Sie Input a query: Geben Sie eine Abfrage ein und klicken Sie auf Validate query.
        Tipp
        Tipp
        Verwenden Sie Companion, um osquery-Abfragen zu generieren, indem Sie auf Generate osquery Query (companion_icon=ebfb1301-169d-4687-b329-7c6b4e235192.png) klicken.
    2. Geben Sie einen Beschreibung für die Antwort oder das Ereignis an.
    3. Klicken Sie auf Erstellen.
    4. Im Fenster Multi-factor authentication (MFA) required fügen Sie den Bestätigungscode ein und klicken Sie auf Absenden.
      Wenn die Authentifizierung erfolgreich ist, erscheint die Aufgabe im Response ManagementTask List.
      Tipp
      Tipp
      Für Antwortaufgaben, die über das Kontextmenü in XDR Data Explorer erstellt wurden, klicken Sie auf das View details in Forensics-Symbol (export_icon=GUID-88c87c83-f1e1-465e-9d60-9ba4a60f6849.jpg) im Response ManagementTask List, um direkt zu ForensicsQuery Results zu gelangen.
  6. Überwachen Sie den Aufgabenstatus.
    1. Klicken Sie im Arbeitsbereich, der die Endpunkte enthält, die Sie triagieren, auf View Query Results
    2. Wählen Sie osquery.
    3. Lokalisieren Sie die Aufgabe über das Menü Task name.
    4. Zeigen Sie den Aufgabenstatus an.
      • Wird ausgeführt (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=de-de=Low.jpg): Trend Vision One hat den Befehl gesendet und wartet auf eine Antwort.
      • In Warteschlange (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=de-de=Low.jpg): Der Verwaltungsserver hat den Befehl in die Warteschlange gestellt, weil der Agent offline war.
      • Erfolgreich (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=de-de=Low.jpg): Der Befehl wurde erfolgreich ausgeführt.
      • Nicht erfolgreich (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): Beim Versuch, den Befehl an den Verwaltungsserver zu senden, ist ein Fehler oder ein Zeitüberschreitung aufgetreten, der Agent ist seit mehr als 24 Stunden offline oder die Befehlsausführung hat die Zeit überschritten.
    5. Wenn die Aufgabe erfolgreich ist, klicken Sie auf das download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.png Symbol, um das Fenster Download File zu öffnen, kopieren und speichern Sie das Passwort, und klicken Sie auf Herunterladen, um die Aufgabenarchivdatei zu erhalten.