Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=LiveDiscoverQueryCreate

Modifier ou créer des demandes

Vous pouvez modifier une demande Live Discover prédéfinie ou créer votre propre demande.

La demande est écrite dans osquery, qui utilise les commandes SQL (Structured Query Language) de base. Il est donc nécessaire de connaitre osquery ou SQL pour modifier la demande.

Retrouvez plus d’aide sur osquery à la section Schéma osquery.

Vous devez également vérifier le schéma Sophos pour les sources de données que vous souhaitez inclure dans votre demande. Par exemple les données de messagerie Sophos ou les données Sophos Cloud Optix. Voir la section Schéma Data Lake.

Nous vous conseillons d’utiliser la communauté Sophos pour partager vos questions ou obtenir plus de précisions sur les questions existantes. Voir le Forum Live Discover.

Pour modifier ou créer une demande, procédez comme suit :

  1. Dans Centre d’analyse des menaces, cliquez sur Live Discover.

  2. Dans Live Discover, activez le Mode concepteur (s’il n'est pas déjà activé). Cela vous permet de modifier ou de créer des demandes.

    Option Mode concepteur.

  3. À la section Demande, effectuez l’une des opérations suivantes :

    • Pour modifier une demande, accédez à une catégorie et sélectionnez la demande souhaitée. Cliquez ensuite sur Modifier.
    • Pour créer une demande, cliquez sur Créer une nouvelle demande.

    Bouton Créer une nouvelle demande.

  4. Dans l’écran d’édition, créez votre demande comme décrit dans les étapes suivantes. Les étapes de modification ou de création d’une demande sont les mêmes. Capture d’écran de la boîte de dialogue des détails de la demande.

  5. Saisissez un nom, une catégorie et une description pour la demande.

  6. Sélectionnez une source à interroger :

    • Data Lake. Ceci vous donne des résultats sur les données des terminaux dans le Data Lake et sur les données d’autres produits Sophos que vous avez configurés pour envoyer des données au Data Lake, par exemple Sophos Cloud Optix ou Sophos Email.
    • Live Endpoint. Cette option donne uniquement des informations sur les terminaux connectés.

    Si vous avez sélectionné Live Endpoint, sélectionnez les systèmes d’exploitation à inclure.

  7. Dans le champ SQL, saisissez la nouvelle demande ou les modifications que vous souhaitez apporter à la demande existante.

    Une demande doit contenir au moins 15 caractères pour être exécutée sur les appareils sélectionnés.

    Retrouvez plus de renseignements sur les tables et données disponibles à la section Référence osquery.

  8. Vous pouvez ajouter une variable à la demande et lui assigner une valeur. Vous pouvez ensuite utiliser la valeur, par exemple dans une instruction conditionnelle. Pour ceci, vous pouvez :

    1. Développez l’éditeur de variables.
    2. Cliquez sur + Ajouter une variable.

    3. Saisissez le nom de la variable.

      Vous pouvez inclure des espaces dans le nom, mais pas de symboles dollar.

    4. Indiquez le type de variable et la valeur que vous souhaitez utiliser lors de l’exécution de la demande.

    5. Dans le champ SQL, saisissez le nom de la variable SQL, y compris les symboles dollar, à l’endroit où vous souhaitez utiliser la variable.

    Par exemple, si vous saisissez File path comme nom de variable, Nom de la variable SQL devient $$File path$$.

    Saisissez $$File path$$ dans le champ SQL :

    SELECT * FROM processes
WHERE filepath = $$File path$$

  9. Si vous configurez une demande Live Endpoint, ouvrez le Sélecteur d’appareils et sélectionnez les appareils à interroger.

    Il est inutile de sélectionner les appareils pour une demande Data Lake. Tous les appareils sont inclus automatiquement.

  10. Facultatif : Si vous configurez une demande Data Lake, cliquez sur la flèche pour ouvrir Sélectionner une période de temps et sélectionner la période à interroger.

    Cette option n’est pas un programme planifié. Elle spécifie uniquement la quantité de données passées sur laquelle la demande s’exécute, et non la fréquence d’exécution.

  11. Cliquez sur Enregistrer. La demande est enregistrée dans la catégorie que vous avez indiquée.