Abfragen bearbeiten oder erstellen

Sie können eine vorbereitete Live-Discover-Abfrage bearbeiten oder eine eigene Abfrage erstellen.

Die Abfrage wird in osquery geschrieben, das grundlegende SQL-Befehle (Structured Query Language) verwendet. Sie müssen mit osquery oder SQL vertraut sein, um die Abfrage bearbeiten zu können.

Hilfe zu osquery finden Sie unter osquery-Schema.

Sie müssen auch die Sophos-Schemas überprüfen:

Gehen Sie wie folgt vor, um eine Abfrage zu bearbeiten oder zu erstellen:

  1. Erweitern Sie in Live Discover Abfrage.
    1. Um eine Abfrage zu bearbeiten, stellen Sie sicher, dass Sie sie ausgewählt haben. Klicken Sie dann auf Bearbeiten.
    2. Sehen Sie sich zum Erstellen einer Abfrage die Liste der Abfragekategorien an. Klicken Sie dann auf Neue Abfrage erstellen.
    Screenshot des Dialogfelds „Abfragedetails“
  2. Geben Sie einen Namen für die Abfrage ein.
  3. Geben Sie eine Kategorie für die Abfrage und eine Beschreibung ein.
  4. Wählen Sie eine Quelle für die Abfrage aus:
    • Data Lake.
    • Live Endpoint. Dadurch werden nur Ergebnisse für Endpoints angezeigt, die verbunden sind.

    Wenn Sie Live Endpoint ausgewählt haben, wählen Sie die einzuschließenden Betriebssysteme aus.

  5. Geben Sie in das Feld SQL die Änderungen ein, die Sie an der vorhandenen Abfrage vornehmen möchten, oder geben Sie die neue Abfrage ein.

    Eine Abfrage muss mindestens 15 Zeichen enthalten, damit sie auf den ausgewählten Geräten ausgeführt werden kann.

    Für Informationen zu den verfügbaren Tabellen und Daten, siehe OSQuery-Referenz (englisch).

  6. Sie können der Abfrage eine Variable hinzufügen und ihr einen Wert zuweisen. Sie können den Wert dann beispielsweise in einer bedingten Anweisungen verwenden. Verfahren Sie wie folgt:
    1. Erweitern Sie den Variableneditor.
    2. Klicken Sie auf + Variable hinzufügen.
    3. Geben Sie einen Namen für die Variable ein.

      Sie können im Namen zwar Leerzeichen, jedoch keine Dollar-Symbole verwenden.

    4. Geben Sie den Variablentyp und den Wert an, der bei der Ausführung der Abfrage verwendet werden soll.
    5. Geben Sie im Feld SQL den Namen der SQL-Variable ein, einschließlich der Dollar-Symbole, wo Sie sie verwenden möchten.

    Wenn Sie beispielsweise Dateipfad als Variablennamen eingeben, wird Name der SQL-Variable zu $$Dateipfad$$.

    Geben Sie $$Dateipfad$$ in das Feld SQL ein:

    SELECT * FROM processes
    WHERE filepath = $$Dateipfad$$
  7. Klicken Sie auf Speichern.
    Die Abfrage wird in der von Ihnen angegebenen Kategorie gespeichert.