Abfragen bearbeiten oder erstellen

Sie können eine vorbereitete Live-Discover-Abfrage bearbeiten oder eine eigene Abfrage erstellen.

Die Abfrage wird in osquery geschrieben, das grundlegende SQL-Befehle (Structured Query Language) verwendet. Sie müssen mit osquery oder SQL vertraut sein, um die Abfrage bearbeiten zu können.

Hilfe zu osquery finden Sie unter osquery-Schema.

Sie müssen auch die Sophos-Schemas überprüfen:

Gehen Sie wie folgt vor, um eine Abfrage zu bearbeiten oder zu erstellen:

  1. Gehen Sie zu Übersicht > Bedrohungsanalyse-Center und klicken Sie auf Live Discover.
    Menü „Live Discover“
  2. Aktivieren Sie in Live Discover den Designer-Modus (falls er noch nicht aktiviert ist). Auf diese Weise können Sie Abfragen bearbeiten oder erstellen.
    Option „Designer-Modus“
  3. Im Abschnitt Abfrage haben Sie folgende Optionen:
    • Um eine Abfrage zu bearbeiten, wechseln Sie zu einer Kategorie und wählen Sie die gewünschte Abfrage aus. Klicken Sie dann auf Bearbeiten.
    • Um eine Abfrage zu erstellen, klicken Sie auf Neue Abfrage erstellen.
    Schaltfläche „Neue Abfrage erstellen“
  4. Erstellen Sie im Bearbeitungsbildschirm Ihre Abfrage, wie in den folgenden Schritten beschrieben. Die Schritte sind die gleichen, unabhängig davon, ob Sie eine Abfrage bearbeiten oder erstellen.
    Screenshot des Dialogfelds „Abfragedetails“
  5. Geben Sie einen Namen, eine Kategorie und eine Beschreibung für die Abfrage ein.
  6. Wählen Sie eine Quelle für die Abfrage aus:
    • Data Lake. Sie erhalten Ergebnisse zu Endpoint-Daten im Data Lake sowie Daten von anderen Sophos-Produkten, die Sie zum Senden von Daten an den Data Lake eingerichtet haben, z. B. Sophos Cloud Optix oder Sophos Email.
    • Live Endpoint. Dadurch werden nur Ergebnisse für Endpoints angezeigt, die verbunden sind.

    Wenn Sie Live Endpoint ausgewählt haben, wählen Sie die einzuschließenden Betriebssysteme aus.

  7. Geben Sie in das Feld SQL die neue Abfrage ein, oder geben Sie die Änderungen ein, die Sie an der vorhandenen Abfrage vornehmen möchten.

    Eine Abfrage muss mindestens 15 Zeichen enthalten, damit sie auf den ausgewählten Geräten ausgeführt werden kann.

    Informationen zu den verfügbaren Tabellen und Daten finden Sie unter osquery-Schema.

  8. Sie können der Abfrage eine Variable hinzufügen und ihr einen Wert zuweisen. Sie können den Wert dann beispielsweise in einer bedingten Anweisungen verwenden. Verfahren Sie wie folgt:
    1. Erweitern Sie den Variableneditor.
    2. Klicken Sie auf + Variable hinzufügen.
    3. Geben Sie einen Namen für die Variable ein.

      Sie können im Namen zwar Leerzeichen, jedoch keine Dollar-Symbole verwenden.

    4. Geben Sie den Variablentyp und den Wert an, der bei der Ausführung der Abfrage verwendet werden soll.
    5. Geben Sie im Feld SQL den Namen der SQL-Variable ein, einschließlich der Dollar-Symbole, wo Sie sie verwenden möchten.

    Wenn Sie beispielsweise Dateipfad als Variablennamen eingeben, wird Name der SQL-Variable zu $$Dateipfad$$.

    Geben Sie $$Dateipfad$$ in das Feld SQL ein:

    SELECT * FROM processes
    WHERE filepath = $$Dateipfad$$
  9. Klicken Sie auf Speichern.
    Die Abfrage wird in der von Ihnen angegebenen Kategorie gespeichert.