Popular topics: Sobre les pauses Sobre l'anàlisi de talent

Support Home / Gestió de l'IT / Factorial IT / Gestió de Dispositius Mòbils (MDM) / Comença amb la MDM / Scripts, Consultes i Polítiques
Back

Biblioteca OSQuery per a consultes i polítiques

Aprofita la biblioteca OSQuery per gestionar consultes i polítiques de seguretat amb eficàcia a les teves plataformes.

Table of Contents

Consultes Obtén una instantània de quins usuaris d'Entra han iniciat la sessió als amfitrions Analitzar processos específics que s'executen per entendre quanta RAM/CPU consumeixen Obtén la IP actual dels hosts Polítiques Comprovar si el dispositiu encara està inscrit a l'Intune Comprovar la presència d'aplicacions Mac Windows Detectar si una aplicació s'està executant

Exploreu diverses consultes i polítiques SQL d'OSQuery per supervisar les sessions d'usuari d'Entra, analitzar l'ús dels recursos del procés, recuperar informació IP actual i comprovar la inscripció de dispositius a Intune, juntament amb la detecció de presència i activitat d'aplicacions en diferents sistemes operatius.

 

Consultes

Obtén una instantània de quins usuaris d'Entra han iniciat la sessió als amfitrions

Compatibilitat: Windows

SELECT	upn,	user,	logon_domain,	dns_domain_name,	authentication_packageFROM	logon_sessionsWHERE	upn LIKE "< your email domain here >"GROUP BY	upn

Analitzar processos específics que s'executen per entendre quanta RAM/CPU consumeixen

Compatibilitat: Mac, Windows, Linux

En aquest exemple, estem examinant processos on el nom conté RTProtection (abreviatura de "protecció en temps real", també conegut com a programari antivirus/EDR). Obtenim el seu pid (ID del procés), name , system_time (que dividim per 86400 per convertir-lo a dies), start_time (que convertim al format dd/mm/aaaa) i RAM consumida ( total_size , que dividim per 1048576 per tenir-ho en megabytes).

SELECT	pid,	name,	ROUND((system_time / 86400), 2) AS system_time_days,	strftime('%d/%m/%Y', datetime(start_time, 'unixepoch')) AS start_time_date,	ROUND((total_size / 1048576), 2) AS total_size_mbFROM	processesWHERE	name LIKE '%RTProtection%';

Obtén la IP actual dels hosts

Compatibilitat: Mac, Windows, Linux

SELECT	JSON_EXTRACT(result, '$.ip') AS ip,	JSON_EXTRACT(result, '$.city') AS city,	JSON_EXTRACT(result, '$.region') AS region,	JSON_EXTRACT(result, '$.country') AS countryFROM	curlWHERE	url = 'http://ipapi.co/json';

 

Polítiques

Comprovar si el dispositiu encara està inscrit a l'Intune

Compatibilitat: Windows

Aquesta política fallarà si el dispositiu encara està inscrit a l'Intune.

SELECT 1FROM	registryWHERE	path LIKE 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\%%'	AND name =  "DiscoveryServiceFullURL"	AND data NOT IN ("https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc","https://discovery.dm.microsoft.com/EnrollmentConfiguration?api-version=1.0")

Comprovar la presència d'aplicacions

Per exemple, per instal·lar una aplicació si falta.

Mac

SELECT 1 FROM apps WHERE bundle_identifier = 'your_bundle_identifier';

Per trobar l'identificador del paquet d'una aplicació, executeu l'ordre següent al Terminal: osascript -e 'id of app "application_name"'

 
 
 

Windows

SELECT 1 FROM programs WHERE name LIKE '%application_name%';
 
 

Detectar si una aplicació s'està executant

SELECT	1FROM	processesWHERE	name LIKE '% process_name %';

 

Was this article helpful?

Give feedback about this article

Related articles

Can’t find what you’re looking for?

Our customer care team is here for you.

Contact us

Knowledge Base Software powered by Helpjuice