Editar o crear consultas

Puede editar una consulta de Live Discover ya preparada o crear su propia consulta.

La consulta se escribe en osquery, que utiliza comandos básicos en lenguaje de consulta estructurado (SQL). Debe estar familiarizado con osquery o SQL para poder editar la consulta.

Para obtener ayuda con osquery, consulte el esquema de osquery.

También debe comprobar los esquemas de Sophos:

Para editar o crear una consulta, haga lo siguiente:

  1. Vaya a Descripción general > Centro de análisis de amenazas y haga clic en Live Discover.
    Menú Live Discover
  2. En Live Discover, active el Modo de diseñador (si no está ya activado). Este le permite editar o crear consultas.
    Opción Modo de diseñador
  3. En la sección Consulta, siga uno de los procedimientos siguientes:
    • Para editar una consulta, vaya a una categoría y seleccione la consulta que desee. A continuación, haga clic en Editar.
    • Para crear una consulta, haga clic en Crear consulta nueva.
    Botón Crear consulta nueva
  4. En la pantalla de edición, cree la consulta como se describe en los pasos siguientes. Los pasos son los mismos tanto si se trata de editar como de crear una consulta.
    Captura de pantalla del cuadro de diálogo de detalles de la consulta
  5. Introduzca un nombre, una categoría y una descripción para la consulta.
  6. Seleccione una fuente de datos para consultar:
    • Data Lake. Esto da resultados para los datos de las estaciones de trabajo en Data Lake, y los datos de otros productos de Sophos que ha configurado para enviar datos a Data Lake, por ejemplo, Sophos Cloud Optix o Sophos Email.
    • Live Endpoint. Esto solo da resultados para las estaciones que están conectadas.

    Si ha seleccionado Live Endpoint, seleccione los sistemas operativos que desea incluir.

  7. En el cuadro SQL, escriba la nueva consulta o los cambios que desea realizar en la consulta existente.

    Una consulta debe contener al menos 15 caracteres para poder ejecutarse en los dispositivos seleccionados.

    Para obtener información acerca de las tablas y los datos disponibles, consulte el esquema de osquery.

  8. Puede añadir una variable a la consulta y asignarle un valor. A continuación, puede utilizar el valor en una instrucción condicional, por ejemplo. Para ello, haga lo siguiente:
    1. Expanda el editor de variables.
    2. Haga clic en + Añadir variable.
    3. Escriba un nombre para la variable.

      Puede incluir espacios en el nombre pero no símbolos de dólar.

    4. Especifique el tipo de variable y el valor que desea utilizar cuando se ejecute la consulta.
    5. En el cuadro SQL, escriba el nombre de la variable SQL, incluidos los símbolos de dólar, donde desea utilizar la variable.

    Por ejemplo, si introduce Ruta de archivo como nombre de variable, Nombre de variable SQL se convierte en $$Ruta de archivo$$ .

    Introduzca $$Ruta de archivo$$ en el cuadro SQL:

    SELECT * FROM processes
    WHERE filepath = $$Ruta de archivo$$
  9. Haga clic en Guardar.
    La consulta se guarda en la categoría especificada.