在指定的端點上執行基於 SQL 的查詢,以支援安全威脅調查和事件回應。使用此任務從Forensics工作區或Workbench、Observed Attack Techniques和XDR Data Explorer中的上下文選單。
在 Forensics 應用程式中 建立工作區並將端點新增到工作區後,您可以從可能受損的端點收集詳細證據,以便對發生在您網路上的重大事件進行內部調查,這些事件可能需要進一步關注。
以下服務支援此任務:
-
Trend Vision One
-
Linux 代理程式
-
macOS 代理程式
-
Windows 代理程式
-
此任務使用 osquery 5.7.0。關於 osquery 5.7.0 中使用的 SQL 語法的詳細資訊,請參閱 osquery 文件。
步驟
- 在 Trend Vision One 主控台中,前往 。
- 點選具有您想要分類的端點的工作區名稱。
- 從列表中選擇一個或多個端點。所選端點必須全部使用相同的作業系統。
- 點選Run osquery。
注意
您也可以在XDR Data Explorer、Workbench和Observed Attack Techniques中的上下文選單執行此回應動作。 - 配置任務。
-
點擊「Select a query」,暫停在查詢上以查看其詳細信息,選擇一個查詢,然後點擊「繼續」。
-
要將新查詢添加到選擇列表中,請前往 osquery 的 Response Scripts 標籤下的回應管理。點擊 Add query 以指定作業系統,輸入新查詢並驗證查詢語法。
-
按一下「Input a query」,輸入查詢,然後按一下「Validate query」。
秘訣
使用 Companion 來生成 osquery 查詢,點擊 「Generate osquery Query」 (
)。
- 為回應或事件指定Description。
- 點選Create。
- 在「Multi-factor authentication (MFA)」視窗中,貼上驗證碼並點擊「提交」。即使 Response Management 核准設定允許自動核准,每個 osquery 任務仍需多重身份驗證 (MFA)。如果驗證成功,該任務將出現在 Response Management 任務列表中。
秘訣
對於從XDR Data Explorer中的上下文選單創建的回應任務,點擊「Response Management」「Task List」中的「View details in Forensics」圖示(
),即可直接進入。
-
- 監控任務狀態。
- 在具有您正在檢查的端點的工作區中,點選
- 選擇osquery。
- 使用「Task name」以找出任務。
- 查看任務狀態。
-
「進行中」 (
): Trend Vision One 已發送指令並正在等待回應。 -
「已排在佇列中」 (
): 管理伺服器已將指令排入佇列,因為代理程式處於離線狀態。 -
「成功」 (
): 命令已成功執行。 -
「未成功」 (
): 嘗試向管理伺服器發送命令時發生錯誤或超時,代理程式已離線超過24小時,或命令執行超時。
-
- 如果任務成功,點擊
以複製並保留密碼,然後點擊「下載」以獲取任務存檔文件。