주요 콘텐츠로 건너뛰기

쿼리 편집 또는 만들기

미리 준비된 Live Discover 쿼리를 편집하거나 직접 쿼리를 만들 수 있습니다.

쿼리는 기본 SQL(구조적 쿼리 언어) 명령을 사용하는 osquery로 작성됩니다. 쿼리를 편집하려면 osquery 또는 SQL에 익숙해야 합니다.

osquery에 대한 도움말은 osquery 스키마를 참조하십시오.

또한 쿼리에 포함할 데이터 원본(예: Sophos 이메일 데이터 또는 Sophos Cloud Optix 데이터)에 대한 Sophos 스키마를 확인해야 합니다. 데이터 레이크 스키마를 참조하십시오.

Sophos 커뮤니티를 사용하여 쿼리를 공유하거나 기존 쿼리를 미세 조정하는 것이 좋습니다. Live Discover 쿼리 포럼을 참조하십시오.

쿼리를 편집하거나 만들려면 다음과 같이 하십시오.

  1. 위협 분석 센터으로 이동하여 Live Discover을 클릭합니다.
  2. Live Discover에서 디자이너 모드를 켭니다(아직 켜져 있지 않은 경우). 이렇게 하면 쿼리를 편집하거나 만들 수 있습니다.

    디자이너 모드 옵션.

  3. 쿼리 섹션에서 다음 중 하나를 수행합니다.

    • 쿼리를 편집하려면 범주로 이동하여 원하는 쿼리를 선택합니다. 그런 다음 편집을 클릭합니다.
    • 새 쿼리를 생성하려면 새 쿼리 만들기를 클릭합니다.

    새 쿼리 만들기 버튼.

  4. 편집 화면에서 다음에 나오는 단계에 설명된 대로 쿼리를 구성합니다. 쿼리 편집 또는 만들기 단계와 동일합니다. 쿼리 세부 정보 대화 상자 스크린샷.

  5. 쿼리에 대한 이름, 범주 및 설명을 입력합니다.
  6. 쿼리할 원본 선택:

    • 데이터 레이크. 이렇게 하면 데이터 레이크의 엔드포인트 데이터와 데이터 레이크로 데이터를 보내도록 설정한 다른 Sophos 제품(예: Sophos Cloud Optix 또는 Sophos Email)의 데이터에 대한 결과가 제공됩니다.
    • Live Endpoint. 이렇게 하면 연결된 엔드포인트의 결과만 제공됩니다.

    Live Endpoint를 선택한 경우 포함할 운영 체제를 선택합니다.

  7. SQL 상자에 새 쿼리를 입력하거나 기존 쿼리에 적용할 변경 내용을 입력합니다.

    선택한 장치에서 실행하려면 쿼리는 15자 이상이어야 합니다.

    사용 가능한 테이블 및 데이터에 대한 자세한 내용은 osquery 스키마를 참조하십시오.

  8. 쿼리에 변수를 추가하고 값을 할당할 수 있습니다. 그런 다음, 예를 들면 이 값을 조건문에서 사용할 수 있습니다. 이렇게 하려면, 다음 과정을 수행하십시오.

    1. 변수 편집기를 확장합니다.
    2. + 변수 추가를 클릭합니다.
    3. 변수의 이름을 입력합니다.

      이름에 공백을 포함할 수 있지만 달러 기호는 포함할 수 없습니다.

    4. 쿼리를 실행할 때 사용할 변수 유형과 값을 지정합니다.

    5. 변수를 사용하려는 경우, SQL 상자에 달러 기호를 포함하여 SQL 변수 이름을 입력합니다.

    예를 들어, 변수 이름에 File path를 입력하면, SQL 변수 이름$$File path$$가 됩니다.

    SQL 상자에 $$File path$$를 입력합니다.

    SELECT * FROM processes
    WHERE filepath = $$File path$$
    
  9. 라이브 엔드포인트 쿼리를 설정하는 경우 장치 선택기를 열고 쿼리할 장치를 선택합니다.

    데이터 레이크 쿼리에 사용할 디바이스를 선택할 필요가 없습니다. 모든 디바이스가 자동으로 포함됩니다.

  10. 옵션: 데이터 레이크 쿼리를 설정하는 경우 화살표를 클릭하여 기간 선택을 열고 쿼리할 기간을 선택합니다.

    이 옵션은 일정이 아닙니다. 이 값은 쿼리를 실행하는 빈도가 아니라 쿼리가 실행되는 과거 데이터의 양을 지정합니다.

  11. 저장을 클릭합니다. 쿼리가 지정한 범주에 저장됩니다.