Modifica o creazione di query

È possibile modificare una query precompilata di Live Discover oppure crearne una personalizzata.

La query viene scritta in osquery, che utilizza i comandi di base di SQL (Structured Query Language). Per modificare la query, è necessario avere familiarità con osquery o SQL.

Per informazioni su osquery, vedere lo schema osquery.

Occorre anche controllare gli schemi di Sophos:

Per modificare o creare una query, procedere come segue:

  1. Aprire Panoramica > Centro di analisi delle minacce e cliccare su Live Discover.
    Menu di Live Discover
  2. In Live Discover, attivare la Modalità progettazione (se non è già attiva), che permette di modificare o creare query.
    Opzione Modalità progettazione
  3. Nella sezione Query, procedere in uno dei seguenti modi:
    • Per modificare una query, selezionare una categoria e successivamente la query desiderata. Cliccare quindi su Modifica.
    • Per creare una query, cliccare su Crea nuova query.
    Pulsante Crea nuova query
  4. Nella schermata di modifica, strutturare la query come descritto nei passaggi seguenti. I passaggi sono gli stessi sia per la modifica che per la creazione di una query.
    Screenshot della finestra di dialogo dei dettagli della query
  5. Immettere un nome, una categoria e una descrizione per la query.
  6. Selezionare un'origine su cui eseguire la query:
    • Data lake. Questa opzione fornisce risultati per i dati degli endpoint nel Data Lake e per i dati provenienti da altri prodotti Sophos configurati per inviare dati al Data Lake, ad esempio Sophos Cloud Optix o Sophos Email.
    • Live Endpoint. Con questa opzione si otterranno solo i risultati per gli endpoint connessi.

    Se è stata selezionata l'opzione Live Endpoint, specificare i sistemi operativi da includere.

  7. Nel riquadro SQL, immettere la nuova query o le modifiche che si desidera apportare alla query esistente.

    Una query deve contenere almeno 15 caratteri per poter essere eseguita sui dispositivi selezionati.

    Per informazioni sulle tabelle e sui dati disponibili, vedere i materiali di riferimento per osquery.

  8. È possibile aggiungere una variabile alla query e assegnarvi un valore. Il valore può quindi essere utilizzato, ad esempio, in un’istruzione condizionale. Per farlo, procedere come segue:
    1. Espandere l’editor delle variabili.
    2. Cliccare su + Aggiungi variabile.
    3. Immettere un nome per la variabile.

      Nel nome è possibile includere spazi vuoti, ma non caratteri dollaro.

    4. Specificare il tipo di variabile e il valore che si desidera utilizzare durante l’esecuzione della query.
    5. Nella casella SQL, immettere il nome della variabile SQL, includendo i caratteri dollaro, dove si desidera utilizzare la variabile.

    Ad esempio, se si immette Percorso file come nome della variabile, il valore Nome variabile SQLdiviene $$Percorso file$$.

    Immettere $$Percorso file$$ nella casella SQL:

    SELECT * FROM processes
    WHERE filepath = $$Percorso file$$
  9. Cliccare su Salva.
    La query verrà salvata nella categoria specificata.