Zum Inhalt

Abfragen bearbeiten oder erstellen

Sie können eine vorbereitete Live-Discover-Abfrage bearbeiten oder eine eigene Abfrage erstellen.

Die Abfrage wird in osquery geschrieben, das grundlegende SQL-Befehle (Structured Query Language) verwendet. Sie müssen mit osquery oder SQL vertraut sein, um die Abfrage bearbeiten zu können.

Hilfe zu osquery finden Sie unter osquery-Schema.

Außerdem müssen Sie das Sophos-Schema auf die Datenquellen überprüfen, die Sie in Ihre Abfrage aufnehmen möchten, zum Beispiel „Sophos Email“-Daten oder „Sophos Cloud Optix“-Daten. Mehr dazu erfahren Sie unter Data-Lake-Schema.

In der Sophos Community können Sie Abfragen austauschen oder vorhandene Abfragen optimieren. Siehe Forum zu Live-Discover-Abfragen.

Gehen Sie wie folgt vor, um eine Abfrage zu bearbeiten oder zu erstellen:

  1. Gehen Sie zu Bedrohungsanalyse-Center und klicken Sie auf Live Discover.
  2. Aktivieren Sie in Live Discover den Designer-Modus (falls er noch nicht aktiviert ist). Auf diese Weise können Sie Abfragen bearbeiten oder erstellen.

    Option „Designer-Modus“.

  3. Im Abschnitt Abfrage haben Sie folgende Optionen:

    • Um eine Abfrage zu bearbeiten, wechseln Sie zu einer Kategorie und wählen Sie die gewünschte Abfrage aus. Klicken Sie dann auf Bearbeiten.
    • Um eine Abfrage zu erstellen, klicken Sie auf Neue Abfrage erstellen.

    Schaltfläche „Neue Abfrage erstellen“.

  4. Erstellen Sie im Bearbeitungsbildschirm Ihre Abfrage, wie in den folgenden Schritten beschrieben. Die Schritte sind die gleichen, unabhängig davon, ob Sie eine Abfrage bearbeiten oder erstellen. Screenshot des Dialogfelds „Abfragedetails“.

  5. Geben Sie einen Namen, eine Kategorie und eine Beschreibung für die Abfrage ein.
  6. Wählen Sie eine Quelle für die Abfrage aus:

    • Data Lake. Sie erhalten Ergebnisse zu Endpoint-Daten im Data Lake sowie Daten von anderen Sophos-Produkten, die Sie zum Senden von Daten an den Data Lake eingerichtet haben, z. B. Sophos Cloud Optix oder Sophos Email.
    • Live Endpoint. Dadurch werden nur Ergebnisse für Endpoints angezeigt, die verbunden sind.

    Wenn Sie Live Endpoint ausgewählt haben, wählen Sie die einzuschließenden Betriebssysteme aus.

  7. Geben Sie in das Feld SQL die neue Abfrage ein, oder geben Sie die Änderungen ein, die Sie an der vorhandenen Abfrage vornehmen möchten.

    Eine Abfrage muss mindestens 15 Zeichen enthalten, damit sie auf den ausgewählten Geräten ausgeführt werden kann.

    Informationen zu den verfügbaren Tabellen und Daten finden Sie unter osquery-Schema.

  8. Sie können der Abfrage eine Variable hinzufügen und ihr einen Wert zuweisen. Sie können den Wert dann beispielsweise in einer bedingten Anweisungen verwenden. Verfahren Sie wie folgt:

    1. Erweitern Sie den Variableneditor.
    2. Klicken Sie auf + Variable hinzufügen.
    3. Geben Sie einen Namen für die Variable ein.

      Sie können im Namen zwar Leerzeichen, jedoch keine Dollar-Symbole verwenden.

    4. Geben Sie den Variablentyp und den Wert an, der bei der Ausführung der Abfrage verwendet werden soll.

    5. Geben Sie im Feld SQL den Namen der SQL-Variable ein, einschließlich der Dollar-Symbole, wo Sie sie verwenden möchten.

    Wenn Sie beispielsweise File path als Variablennamen eingeben, wird Name der SQL-Variable zu $$File path$$.

    Geben Sie $$File path$$ in das Feld SQL ein:

    SELECT * FROM processes
    WHERE filepath = $$File path$$
    
  9. Wenn Sie eine Abfrage Live-Endpoint einrichten, öffnen Sie Geräte-Kennzeichner aus und wählen Sie die abzufragenden Geräte aus.

    Sie müssen keine Geräte für eine Data Lake-Abfrage auswählen. Alle Geräte werden automatisch eingeschlossen.

  10. Optional: Wenn Sie eine Data Lake-Abfrage einrichten, klicken Sie auf den Pfeil, um die Option Zeitraum auswählen zu öffnen und den abzufragenden Zeitraum auszuwählen.

    Diese Option ist kein Zeitplan. Sie gibt an, wie viele Daten aus der Vergangenheit von der Abfrage erfasst werden, nicht wie oft sie ausgeführt wird.

  11. Klicken Sie auf Speichern. Die Abfrage wird in der von Ihnen angegebenen Kategorie gespeichert.