跳至內容
最後更新: 2022-07-25

編輯或建立查詢

您可以編輯預先準備好的 Live Discover 查詢,也可以建立自己的查詢。

查詢在 osquery 中撰寫,其使用基本的結構化查詢語言 (SQL) 命令。您必須熟悉 osquery 或 SQL 才能編輯查詢。

有關 osquery 的說明,請參見 osquery 架構

您還需要檢查要包含在查詢中的資料來源的 Sophos 架構,例如 Sophos 電子郵件資料或 Sophos Cloud Optix 資料。請參閱 Data Lake 架構

要編輯或建立查詢,請執行以下操作:

  1. 轉至 威脅分析中心 並按一下 Live Discover
  2. Live Discover 中,開啟設計工具模式(如果尚未開啟)。這可讓您編輯或建立查詢。

    設計工具模式選項

  3. 查询 部分,進行以下其中一項操作:

    • 若要編輯查詢,請移至類別並選取您要的查詢。然後按一下 編輯
    • 若要建立查詢,請按一下 建立新查詢

    建立新查詢按鈕

  4. 在編輯螢幕中,按以下步驟中所述構建查詢。無論您是編輯還是建立查詢,步驟都是相同的。查詢詳細資料對話方塊的螢幕擷取畫面

  5. 輸入查詢的名稱、類別和說明。
  6. 選取要查詢的來源:

    • Data Lake。這將爲 Data Lake 中的端點資料以及您設定爲將資料傳送到 Data Lake 的其他 Sophos 產品(例如 Sophos Cloud Optix 或 Sophos Email)中的資料提供結果。
    • Live Endpoint。這僅爲已連線的端點提供結果。如果選取了 Live Endpoint,請選取要包括的作業系統。
  7. SQL 方塊中,輸入新查詢或輸入您要對現有查詢進行的變更。

    查詢必須包含至少 15 個字元才能在所選裝置上執行。

    有關可用表格和資料的資訊,請參閱 osquery 架構

  8. 您可以將變數新增至查詢並指派值給查詢。然後您可使用該值,例如在條件陳述式中。若要執行此操作,請依照以下步驟操作。

    1. 展開變數編輯器。
    2. 按一下 + 新增變數
    3. 輸入變數的名稱。

      您可以在名稱中包含空格,但不能包含美元符號。

    4. 指定執行查詢時要使用的變數類型和值。

    5. SQL 方塊中,輸入您要使用的 SQL 變數名稱,包括美元符號。

    例如,若您為變數名稱輸入 File pathSQL 變數名稱 將變為 $$File path$$

    因此,請在 SQL 方塊中輸入 $$File path$$

    SELECT * FROM processes
    WHERE filepath = $$File path$$
    
  9. 如果您要設定 Live Endpoint 查詢,請開啟裝置選擇器,然後選擇要查詢的裝置。

    您不需要為 Data Lake 查詢選擇裝置。所有裝置都會自動包含在內。

  10. 可選:如果您要設定 Data Lake 查詢,請按一下箭頭以開啟選取時段,然後選取要查詢的期間。

    此選項並非排程。它用於指定查詢執行的過往資料量,而非執行的頻率。

  11. 按一下儲存。查詢將儲存至您指定的類別。