Modifica o creazione di query
È possibile modificare una query precompilata di Live Discover oppure crearne una personalizzata.
La query viene scritta in osquery, che utilizza i comandi di base di SQL (Structured Query Language). Per modificare la query, è necessario avere familiarità con osquery o SQL.
Per informazioni su osquery, vedere lo schema osquery.
Inoltre, occorre controllare lo schema Sophos per le origini di dati che si desidera includere nella query, ad esempio i dati di Sophos Email o i dati di Sophos Cloud Optix. Vedere Schema del Data Lake.
Consigliamo di utilizzare la Sophos Community per condividere query o perfezionare quelle esistenti. Visitare il Forum dedicato alle query di Live Discover.
Per modificare o creare una query, procedere come segue:
- Aprire Centro di analisi delle minacce e cliccare su Live Discover.
-
In Live Discover, attivare la Modalità progettazione (se non è già attiva). Ciò permette di modificare o creare query.
-
Nella sezione Query, procedere in uno dei seguenti modi:
- Per modificare una query, selezionare una categoria e successivamente la query desiderata. Cliccare quindi su Modifica.
- Per creare una query, cliccare su Crea nuova query.
-
Nella schermata di modifica, strutturare la query come descritto nei passaggi seguenti. I passaggi sono gli stessi sia per la modifica che per la creazione di una query.
- Immettere un nome, una categoria e una descrizione per la query.
-
Selezionare un'origine su cui eseguire la query:
- Data lake. Questa opzione fornisce risultati per i dati degli endpoint nel Data Lake e per i dati provenienti da altri prodotti Sophos configurati per inviare dati al Data Lake, ad esempio Sophos Cloud Optix o Sophos Email.
- Live Endpoint. Con questa opzione si otterranno solo i risultati per gli endpoint connessi.
Se è stata selezionata l'opzione Live Endpoint, specificare i sistemi operativi da includere.
-
Nel riquadro SQL, immettere la nuova query o le modifiche che si desidera apportare alla query esistente.
Una query deve contenere almeno 15 caratteri per poter essere eseguita sui dispositivi selezionati.
Per informazioni sulle tabelle e sui dati disponibili, vedere i materiali di riferimento per osquery.
-
È possibile aggiungere una variabile alla query e assegnarvi un valore. Il valore può quindi essere utilizzato, ad esempio, in un’istruzione condizionale. Per farlo, procedere come segue:
- Espandere l’editor delle variabili.
- Cliccare su + Aggiungi variabile.
-
Immettere un nome per la variabile.
Nel nome è possibile includere spazi vuoti, ma non caratteri dollaro.
-
Specificare il tipo di variabile e il valore che si desidera utilizzare durante l’esecuzione della query.
- Nella casella SQL, immettere il nome della variabile SQL, includendo i caratteri dollaro, dove si desidera utilizzare la variabile.
Ad esempio, se si immette
File path
come nome della variabile, il valore Nome variabile SQL diviene$$File path$$
.Immettere
$$File path$$
nella casella SQL:SELECT * FROM processes WHERE filepath = $$File path$$
-
Se si sta configurando una query Live Endpoint, aprire Selettore dispositivi e selezionare i dispositivi su cui eseguire la query.
Non è necessario selezionare i dispositivi per una query nel Data Lake. Tutti i dispositivi vengono inclusi automaticamente.
-
Opzionale: Se si sta configurando una query nel Data Lake, cliccare sulla freccia per aprire Seleziona un periodo di tempo e selezionare il periodo di tempo su cui eseguire la query.
Questa opzione non è una pianificazione. Poiché specifica la quantità di dati passati su cui viene eseguita la query e non la frequenza di esecuzione della query.
-
Cliccare su Salva. La query verrà salvata nella categoria specificata.