콘텐츠로 이동
마지막 업데이트: 2022-04-12

쿼리 편집 또는 만들기

미리 준비된 Live Discover 쿼리를 편집하거나 직접 쿼리를 만들 수 있습니다.

쿼리는 기본 SQL(구조적 쿼리 언어) 명령을 사용하는 osquery로 작성됩니다. 쿼리를 편집하려면 osquery 또는 SQL에 익숙해야 합니다.

osquery에 대한 도움말은 osquery 스키마를 참조하십시오.

또한 쿼리에 포함할 데이터 원본(예: Sophos 이메일 데이터 또는 Sophos Cloud Optix 데이터)에 대한 Sophos 스키마를 확인해야 합니다. 데이터 레이크 스키마를 참조하십시오.

쿼리를 편집하거나 만들려면 다음과 같이 하십시오.

  1. 개요 > 위협 분석 센터으로 이동하여 Live Discover을 클릭합니다.

    Live Discover 메뉴

  2. Live Discover에서 디자이너 모드를 켭니다(아직 켜져 있지 않은 경우). 이렇게 하면 쿼리를 편집하거나 만들 수 있습니다.

    디자이너 모드 옵션

  3. 쿼리 섹션에서 다음 중 하나를 수행합니다.

    • 쿼리를 편집하려면 범주로 이동하여 원하는 쿼리를 선택합니다. 그런 다음 편집을 클릭합니다.
    • 새 쿼리를 생성하려면 새 쿼리 만들기를 클릭합니다.

    새 쿼리 만들기 버튼

  4. 편집 화면에서 다음에 나오는 단계에 설명된 대로 쿼리를 구성합니다. 쿼리 편집 또는 만들기 단계와 동일합니다. 쿼리 세부 정보 대화 상자 스크린샷

  5. 쿼리에 대한 이름, 범주 및 설명을 입력합니다.
  6. 쿼리할 원본 선택:

    • 데이터 레이크. 이렇게 하면 데이터 레이크의 엔드포인트 데이터와 데이터 레이크로 데이터를 보내도록 설정한 다른 Sophos 제품(예: Sophos Cloud Optix 또는 Sophos Email)의 데이터에 대한 결과가 제공됩니다.
    • Live Endpoint. 이렇게 하면 연결된 엔드포인트의 결과만 제공됩니다. Live Endpoint를 선택한 경우 포함할 운영 체제를 선택합니다.
  7. SQL 상자에 새 쿼리를 입력하거나 기존 쿼리에 적용할 변경 내용을 입력합니다.

    선택한 장치에서 실행하려면 쿼리는 15자 이상이어야 합니다.

    사용 가능한 테이블 및 데이터에 대한 자세한 내용은 osquery 스키마를 참조하십시오.

  8. 쿼리에 변수를 추가하고 값을 할당할 수 있습니다. 그런 다음, 예를 들면 이 값을 조건문에서 사용할 수 있습니다. 이렇게 하려면, 다음 과정을 수행하십시오.

    1. 변수 편집기를 확장합니다.
    2. + 변수 추가를 클릭합니다.
    3. 변수의 이름을 입력합니다.

      이름에 공백을 포함할 수 있지만 달러 기호는 포함할 수 없습니다.

    4. 쿼리를 실행할 때 사용할 변수 유형과 값을 지정합니다.

    5. 변수를 사용하려는 경우, SQL 상자에 달러 기호를 포함하여 SQL 변수 이름을 입력합니다.

    예를 들어, 변수 이름에 File path를 입력하면, SQL 변수 이름$$File path$$가 됩니다.

    SQL 상자에 $$File path$$를 입력합니다.

    SELECT * FROM processes
    WHERE filepath = $$File path$$
    
  9. 라이브 엔드포인트 쿼리를 설정하는 경우 장치 선택기를 열고 쿼리할 장치를 선택합니다.

    데이터 레이크 쿼리에 사용할 디바이스를 선택할 필요가 없습니다. 모든 디바이스가 자동으로 포함됩니다.

  10. 옵션: 데이터 레이크 쿼리를 설정하는 경우 화살표를 클릭하여 기간 선택을 열고 쿼리할 기간을 선택합니다.

    이 옵션은 일정이 아닙니다. 이 값은 쿼리를 실행하는 빈도가 아니라 쿼리가 실행되는 과거 데이터의 양을 지정합니다.

  11. 저장을 클릭합니다. 쿼리가 지정한 범주에 저장됩니다.

맨위로