Editar o crear consultas

Puede editar una consulta de Live Discover ya preparada o crear su propia consulta.

La consulta se escribe en osquery, que utiliza comandos básicos en lenguaje de consulta estructurado (SQL). Debe estar familiarizado con osquery o SQL para poder editar la consulta.

Para obtener ayuda con osquery, consulte el esquema de osquery.

También debe comprobar los esquemas de Sophos:

Para editar o crear una consulta, haga lo siguiente:

  1. En Live Discover, expanda Consulta.
    1. Para editar una consulta, asegúrese de que la ha seleccionado. A continuación, haga clic en Editar.
    2. Para crear una consulta, mire la lista de categorías de consulta. A continuación, haga clic en Crear consulta nueva.
    Captura de pantalla del cuadro de diálogo de detalles de la consulta
  2. Escriba un nombre nuevo para la consulta.
  3. Introduzca una categoría para la consulta y una descripción.
  4. Seleccione una fuente de datos para consultar:
    • Data Lake.
    • Live Endpoint. Esto solo da resultados para las estaciones que están conectadas.

    Si ha seleccionado Live Endpoint, seleccione los sistemas operativos que desea incluir.

  5. En el cuadro SQL, escriba los cambios que desea realizar en la consulta existente o introduzca la nueva consulta.

    Una consulta debe contener al menos 15 caracteres para poder ejecutarse en los dispositivos seleccionados.

    Para obtener información acerca de las tablas y los datos disponibles, consulte el esquema de osquery.

  6. Puede añadir una variable a la consulta y asignarle un valor. A continuación, puede utilizar el valor en una instrucción condicional, por ejemplo. Para ello, haga lo siguiente:
    1. Expanda el editor de variables.
    2. Haga clic en + Añadir variable.
    3. Escriba un nombre para la variable.

      Puede incluir espacios en el nombre pero no símbolos de dólar.

    4. Especifique el tipo de variable y el valor que desea utilizar cuando se ejecute la consulta.
    5. En el cuadro SQL, escriba el nombre de la variable SQL, incluidos los símbolos de dólar, donde desea utilizar la variable.

    Por ejemplo, si introduce Ruta de archivo como nombre de variable, Nombre de variable SQL se convierte en $$Ruta de archivo$$ .

    Introduzca $$Ruta de archivo$$ en el cuadro SQL:

    SELECT * FROM processes
    WHERE filepath = $$Ruta de archivo$$
  7. Haga clic en Guardar.
    La consulta se guarda en la categoría especificada.