編輯或建立查詢
您可以編輯預先準備好的 Live Discover 查詢,也可以建立自己的查詢。
查詢在 osquery 中撰寫,其使用基本的結構化查詢語言 (SQL) 命令。您必須熟悉 osquery 或 SQL 才能編輯查詢。
有關 osquery 的說明,請參見 osquery 架構。
您還需要檢查要包含在查詢中的資料來源的 Sophos 架構,例如 Sophos 電子郵件資料或 Sophos Cloud Optix 資料。請參閱 Data Lake 架構。
建議使用 Sophos 社群共用查詢或微調現有查詢。請參閱 Live Discover 查詢論壇。
要編輯或建立查詢,請執行以下操作:
- 轉至 威脅分析中心 並按一下 Live Discover。
-
在 Live Discover 中,開啟設計工具模式(如果尚未開啟)。這可讓您編輯或建立查詢。
-
在 查询 部分,進行以下其中一項操作:
- 若要編輯查詢,請移至類別並選取您要的查詢。然後按一下 編輯。
- 若要建立查詢,請按一下 建立新查詢。
-
在編輯螢幕中,按以下步驟中所述構建查詢。無論您是編輯還是建立查詢,步驟都是相同的。
- 輸入查詢的名稱、類別和說明。
-
選取要查詢的來源:
- Data Lake。這將爲 Data Lake 中的端點資料以及您設定爲將資料傳送到 Data Lake 的其他 Sophos 產品(例如 Sophos Cloud Optix 或 Sophos Email)中的資料提供結果。
- Live Endpoint。這僅爲已連線的端點提供結果。
如果選取了 Live Endpoint,請選取要包括的作業系統。
-
在 SQL 方塊中,輸入新查詢或輸入您要對現有查詢進行的變更。
查詢必須包含至少 15 個字元才能在所選裝置上執行。
有關可用表格和資料的資訊,請參閱 osquery 架構。
-
您可以將變數新增至查詢並指派值給查詢。然後您可使用該值,例如在條件陳述式中。若要執行此操作,請依照以下步驟操作。
- 展開變數編輯器。
- 按一下 + 新增變數。
-
輸入變數的名稱。
您可以在名稱中包含空格,但不能包含美元符號。
-
指定執行查詢時要使用的變數類型和值。
- 在 SQL 方塊中,輸入您要使用的 SQL 變數名稱,包括美元符號。
例如,若您為變數名稱輸入
File path,SQL 變數名稱 將變為$$File path$$。因此,請在 SQL 方塊中輸入
$$File path$$:SELECT * FROM processes WHERE filepath = $$File path$$ -
如果您要設定 Live Endpoint 查詢,請開啟裝置選擇器,然後選擇要查詢的裝置。
您不需要為 Data Lake 查詢選擇裝置。所有裝置都會自動包含在內。
-
可選:如果您要設定 Data Lake 查詢,請按一下箭頭以開啟選取時段,然後選取要查詢的期間。
此選項並非排程。它用於指定查詢執行的過往資料量,而非執行的頻率。
-
按一下儲存。查詢將儲存至您指定的類別。