Vai al contenuto

Modifica o creazione di query

È possibile modificare una query precompilata di Live Discover oppure crearne una personalizzata.

La query viene scritta in osquery, che utilizza i comandi di base di SQL (Structured Query Language). Per modificare la query, è necessario avere familiarità con osquery o SQL.

Per informazioni su osquery, vedere lo schema osquery.

Inoltre, occorre controllare lo schema Sophos per le origini di dati che si desidera includere nella query, ad esempio i dati di Sophos Email o i dati di Sophos Cloud Optix. Vedere Schema del Data Lake.

Consigliamo di utilizzare la Sophos Community per condividere query o perfezionare quelle esistenti. Visitare il Forum dedicato alle query di Live Discover.

Per modificare o creare una query, procedere come segue:

  1. Aprire Centro di analisi delle minacce e cliccare su Live Discover.
  2. In Live Discover, attivare la Modalità progettazione (se non è già attiva). Ciò permette di modificare o creare query.

    Opzione Modalità progettazione.

  3. Nella sezione Query, procedere in uno dei seguenti modi:

    • Per modificare una query, selezionare una categoria e successivamente la query desiderata. Cliccare quindi su Modifica.
    • Per creare una query, cliccare su Crea nuova query.

    Pulsante Crea nuova query.

  4. Nella schermata di modifica, strutturare la query come descritto nei passaggi seguenti. I passaggi sono gli stessi sia per la modifica che per la creazione di una query. Screenshot della finestra di dialogo dei dettagli della query.

  5. Immettere un nome, una categoria e una descrizione per la query.
  6. Selezionare un'origine su cui eseguire la query:

    • Data lake. Questa opzione fornisce risultati per i dati degli endpoint nel Data Lake e per i dati provenienti da altri prodotti Sophos configurati per inviare dati al Data Lake, ad esempio Sophos Cloud Optix o Sophos Email.
    • Live Endpoint. Con questa opzione si otterranno solo i risultati per gli endpoint connessi.

    Se è stata selezionata l'opzione Live Endpoint, specificare i sistemi operativi da includere.

  7. Nel riquadro SQL, immettere la nuova query o le modifiche che si desidera apportare alla query esistente.

    Una query deve contenere almeno 15 caratteri per poter essere eseguita sui dispositivi selezionati.

    Per informazioni sulle tabelle e sui dati disponibili, vedere i materiali di riferimento per osquery.

  8. È possibile aggiungere una variabile alla query e assegnarvi un valore. Il valore può quindi essere utilizzato, ad esempio, in un’istruzione condizionale. Per farlo, procedere come segue:

    1. Espandere l’editor delle variabili.
    2. Cliccare su + Aggiungi variabile.
    3. Immettere un nome per la variabile.

      Nel nome è possibile includere spazi vuoti, ma non caratteri dollaro.

    4. Specificare il tipo di variabile e il valore che si desidera utilizzare durante l’esecuzione della query.

    5. Nella casella SQL, immettere il nome della variabile SQL, includendo i caratteri dollaro, dove si desidera utilizzare la variabile.

    Ad esempio, se si immette File path come nome della variabile, il valore Nome variabile SQL diviene $$File path$$.

    Immettere $$File path$$ nella casella SQL:

    SELECT * FROM processes
    WHERE filepath = $$File path$$
    
  9. Se si sta configurando una query Live Endpoint, aprire Selettore dispositivi e selezionare i dispositivi su cui eseguire la query.

    Non è necessario selezionare i dispositivi per una query nel Data Lake. Tutti i dispositivi vengono inclusi automaticamente.

  10. Opzionale: Se si sta configurando una query nel Data Lake, cliccare sulla freccia per aprire Seleziona un periodo di tempo e selezionare il periodo di tempo su cui eseguire la query.

    Questa opzione non è una pianificazione. Poiché specifica la quantità di dati passati su cui viene eseguita la query e non la frequenza di esecuzione della query.

  11. Cliccare su Salva. La query verrà salvata nella categoria specificata.