Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=LiveDiscoverQueryCreate

Editar ou criar consultas

Você pode editar uma consulta do Live Discover pré-formulada ou criar sua própria consulta.

A consulta é codificada em osquery, que usa comandos básicos SQL (Structured Query Language). Você deve estar familiarizado com osquery ou SQL para editar a consulta.

Para obter ajuda com osquery, consulte Esquema osquery.

Você também precisa verificar o esquema Sophos em relação às fontes de dados que deseja incluir em sua consulta, por exemplo, dados de e-mail da Sophos ou dados do Sophos Cloud Optix. Consulte Esquema de Data Lake.

Recomendamos o uso da Sophos Community para compartilhar consultas ou adaptar as já existentes. Consulte Live Discover Query Forum.

Para editar ou criar uma consulta, faça o seguinte:

  1. Vá até Centro de Análise de Ameaças e clique em Live Discover.

  2. No Live Discover, ative o Modo Designer (se ainda não estiver ativado). Isso permite editar ou criar consultas.

    Opção Modo Designer.

  3. Na seção Consulta, siga um destes procedimentos:

    • Para editar uma consulta, vá para uma categoria e selecione a consulta desejada. Em seguida, clique em Editar.
    • Para criar uma consulta, clique em Criar nova consulta.

    Botão Criar nova consulta.

  4. Na tela de edição, crie sua consulta conforme descrito nas etapas a seguir. As etapas são as mesmas, quer você esteja editando ou criando uma consulta. Captura de tela da caixa de diálogo de detalhes da consulta.

  5. Insira um nome, categoria e descrição para a consulta.

  6. Selecione uma fonte para consultar:

    • Data Lake. Isso fornece resultados para dados de endpoint no Data Lake e dados de outros produtos Sophos que você configurou para enviar dados para o Data Lake, por exemplo Sophos Cloud Optix ou Sophos Email.
    • Live Endpoint. Só fornece resultados para endpoints que estão conectados.

    Se você selecionou Live Endpoint, selecione os sistemas operacionais a serem incluídos.

  7. Na caixa SQL, insira a nova consulta ou insira as alterações que deseja fazer na consulta existente.

    Uma consulta deve conter pelo menos 15 caracteres para ser executada nos dispositivos selecionados.

    Para obter informações sobre as tabelas e os dados disponíveis, consulte Referência osquery.

  8. Você pode adicionar uma variável à consulta e atribuir um valor a ela. Depois, você pode usar o valor, por exemplo, em um instrução condicional. Para isso, siga este procedimento:

    1. Expanda o editor de variáveis.
    2. Clique em + Adicionar variável.

    3. Insira um nome para a variável.

      Você pode incluir espaços no nome, mas não símbolos de cifrão.

    4. Especifique o tipo de variável e o valor que você deseja usar quando a consulta for executada.

    5. Na caixa SQL, digite o nome da variável SQL, incluindo os símbolos de cifrão, onde você deseja usar a variável.

    Por exemplo, se você inserir File path como nome da variável, Nome de variável SQL torna-se $$File path$$.

    Digite $$File path$$ na caixa SQL:

    SELECT * FROM processes
WHERE filepath = $$File path$$

  9. Se você estiver configurando uma consulta ao Live Endpoint, abra o Seletor de dispositivos e selecione os dispositivos para a consulta.

    Não é necessário selecionar dispositivos para uma consulta ao Data Lake. Todos os dispositivos são incluídos automaticamente.

  10. Opcional: Se estiver configurando uma consulta ao Data Lake, clique na seta para abrir Selecionar um período e selecione o período da consulta.

    Essa opção não é um agendamento. Ela especifica em quantos dados passados a consulta é executada, não a frequência com que ela é executada.

  11. Clique em Salvar. A consulta é salva na categoria especificada.