Modifier ou créer des demandes

Vous pouvez modifier une demande Live Discover prédéfinie ou créer votre propre demande.

La demande est écrite dans osquery, qui utilise les commandes SQL (Structured Query Language) de base. Il est donc nécessaire de connaitre osquery ou SQL pour modifier la demande.

Retrouvez plus d’aide sur osquery à la section Schéma osquery.

Vous devez également vérifier les schémas Sophos suivants :

Pour modifier ou créer une demande, procédez comme suit :

  1. Dans Vue générale > Centre d’analyse des menaces, cliquez sur Live Discover.
    Menu Live Discover
  2. Dans Live Discover, activez le Mode concepteur (s’il n'est pas déjà activé). Cela vous permet de modifier ou de créer des demandes.
    Option Mode concepteur
  3. À la section Demande, effectuez l’une des opérations suivantes :
    • Pour modifier une demande, accédez à une catégorie et sélectionnez la demande souhaitée. Cliquez ensuite sur Modifier.
    • Pour créer une demande, cliquez sur Créer une nouvelle demande.
    Bouton Créer une nouvelle demande
  4. Dans l’écran d’édition, créez votre demande comme décrit dans les étapes suivantes. Les étapes de modification ou de création d’une demande sont les mêmes.
    Capture d’écran de la boîte de dialogue des détails de la demande
  5. Saisissez un nom, une catégorie et une description pour la demande.
  6. Sélectionnez une source à interroger :
    • Data Lake. Ceci vous donne des résultats sur les données des terminaux dans le Data Lake et sur les données d’autres produits Sophos que vous avez configurés pour envoyer des données au Data Lake, par exemple Sophos Cloud Optix ou Sophos Email.
    • Live Endpoint. Cette option donne uniquement des informations sur les terminaux connectés.

    Si vous avez sélectionné Live Endpoint, sélectionnez les systèmes d’exploitation à inclure.

  7. Dans le champ SQL, saisissez la nouvelle demande ou les modifications que vous souhaitez apporter à la demande existante.

    Une demande doit contenir au moins 15 caractères pour être exécutée sur les appareils sélectionnés.

    Retrouvez plus de renseignements sur les tables et données disponibles à la section Référence osquery.

  8. Vous pouvez ajouter une variable à la demande et lui assigner une valeur. Vous pouvez ensuite utiliser la valeur, par exemple dans une instruction conditionnelle. Procédez de la manière suivante :
    1. Développez l’éditeur de variables.
    2. Cliquez sur + Ajouter une variable.
    3. Saisissez le nom de la variable.

      Vous pouvez inclure des espaces dans le nom, mais pas de symboles dollar.

    4. Indiquez le type de variable et la valeur que vous souhaitez utiliser lors de l’exécution de la demande.
    5. Dans le champ SQL, saisissez le nom de la variable SQL, y compris les symboles dollar, à l’endroit où vous souhaitez utiliser la variable.

    Par exemple, si vous saisissez chemin du fichier comme nom de variable, Nom de la variable SQL devient $$chemin du fichier$$.

    Saisissez $$chemin du fichier$$ dans le champ SQL :

    SELECT * FROM processes
    WHERE filepath = $$chemin du fichier$$
  9. Cliquez sur Enregistrer.
    La demande est enregistrée dans la catégorie que vous avez indiquée.