Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=LiveDiscoverQueryCreate

Editar o crear consultas

Puede editar una consulta de Live Discover ya preparada o crear su propia consulta.

La consulta se escribe en osquery, que utiliza comandos básicos en lenguaje de consulta estructurado (SQL). Debe estar familiarizado con osquery o SQL para poder editar la consulta.

Para obtener ayuda con osquery, consulte el esquema de osquery.

También debe comprobar en el esquema de Sophos las fuentes de datos que desea incluir en su consulta, por ejemplo, datos de correo electrónico de Sophos o datos de Sophos Cloud Optix. Consulte Esquema de Data Lake.

Recomendamos utilizar Sophos Community para compartir consultas o perfeccionar las existentes. Consulte el Foro de consultas de Live Discover.

Para editar o crear una consulta, haga lo siguiente:

  1. Vaya a Centro de análisis de amenazas y haga clic en Live Discover.

  2. En Live Discover, active el Modo de diseñador (si no está ya activado). Este le permite editar o crear consultas.

    Opción Modo de diseñador.

  3. En la sección Consulta, siga uno de los procedimientos siguientes:

    • Para editar una consulta, vaya a una categoría y seleccione la consulta que desee. A continuación, haga clic en Editar.
    • Para crear una consulta, haga clic en Crear consulta nueva.

    Botón Crear consulta nueva.

  4. En la pantalla de edición, cree la consulta como se describe en los pasos siguientes. Los pasos son los mismos tanto si se trata de editar como de crear una consulta. Captura de pantalla del cuadro de diálogo de detalles de la consulta.

  5. Introduzca un nombre, una categoría y una descripción para la consulta.

  6. Seleccione una fuente de datos para consultar:

    • Data Lake. Esto da resultados para los datos de las estaciones de trabajo en Data Lake, y los datos de otros productos de Sophos que ha configurado para enviar datos a Data Lake, por ejemplo, Sophos Cloud Optix o Sophos Email.
    • Live Endpoint. Esto solo da resultados para las estaciones que están conectadas.

    Si ha seleccionado Live Endpoint, seleccione los sistemas operativos que desea incluir.

  7. En el cuadro SQL, escriba la nueva consulta o los cambios que desea realizar en la consulta existente.

    Una consulta debe contener al menos 15 caracteres para poder ejecutarse en los dispositivos seleccionados.

    Para obtener información acerca de las tablas y los datos disponibles, consulte el esquema de osquery.

  8. Puede añadir una variable a la consulta y asignarle un valor. A continuación, puede utilizar el valor en una instrucción condicional, por ejemplo. Para ello, haga lo siguiente:

    1. Expanda el editor de variables.
    2. Haga clic en + Añadir variable.

    3. Escriba un nombre para la variable.

      Puede incluir espacios en el nombre pero no símbolos de dólar.

    4. Especifique el tipo de variable y el valor que desea utilizar cuando se ejecute la consulta.

    5. En el cuadro SQL, escriba el nombre de la variable SQL, incluidos los símbolos de dólar, donde desea utilizar la variable.

    Por ejemplo, si introduce File path como nombre de variable, Nombre de variable SQL se convierte en $$File path$$.

    Introduzca $$File path$$ en el cuadro SQL:

    SELECT * FROM processes
WHERE filepath = $$File path$$

  9. Si está configurando una consulta de Live Endpoint, abra Selector de dispositivos y seleccione los dispositivos que consultar.

    No es necesario seleccionar dispositivos para una consulta de Data Lake. Todos los dispositivos se incluyen automáticamente.

  10. Opcional: Si está configurando una consulta de Data Lake, haga clic en la flecha para abrir Seleccionar un periodo de tiempo y defina el periodo para consultar.

    Esta opción no es una programación. Especifica la cantidad de datos pasados en que se basa la consulta, no con qué frecuencia se ejecuta.

  11. Haga clic en Guardar. La consulta se guarda en la categoría especificada.