Temas populares: Sobre los métodos de inicio de sesión y autenticación ¿Cómo contactar con Atención al Cliente?

Página de Soporte / Gestión de IT / Factorial IT / Gestión de Dispositivos Móviles (MDM) / Comienza con MDM / Scripts, Consultas y Políticas
Volver

Biblioteca OSQuery para consultas y políticas

Aprende a utilizar la biblioteca OSQuery para mejorar tus consultas y políticas de seguridad de forma eficaz y eficiente.

ÍNDICE

Consultas Obtén una instantánea de qué usuarios de Entra están conectados a los hosts Analiza procesos específicos que se ejecutan para comprender cuánta RAM/CPU están consumiendo Obtenén la IP actual de los hosts Políticas Comprueba si el dispositivo todavía está registrado en Intune Comprueba presencia de aplicaciones Mac Windows Detecta si una aplicación se está ejecutando

Explora varias consultas y políticas SQL de OSQuery para monitorear sesiones de usuarios de Entra, analizar el uso de recursos del proceso, recuperar información de IP actual y verificar la inscripción de dispositivos en Intune, junto con la presencia de aplicaciones y la detección de actividad en diferentes sistemas operativos.

 

Consultas

Obtén una instantánea de qué usuarios de Entra están conectados a los hosts

Compatibilidad: Windows

SELECT	upn,	user,	logon_domain,	dns_domain_name,	authentication_packageFROM	logon_sessionsWHERE	upn LIKE "< your email domain here >"GROUP BY	upn

Analiza procesos específicos que se ejecutan para comprender cuánta RAM/CPU están consumiendo

Compatibilidad: Mac, Windows, Linux

En este ejemplo, analizamos procesos cuyo nombre contiene RTProtection (abreviatura de "protección en tiempo real", también conocida como software antivirus/EDR). Obtenemos su pid (ID del proceso), name , system_time (que dividimos entre 86400 para convertirla a días), start_time (que convertimos al formato dd/mm/aaaa) y la RAM consumida ( total_size , que dividimos entre 1048576 para obtenerla en megabytes).

SELECT	pid,	name,	ROUND((system_time / 86400), 2) AS system_time_days,	strftime('%d/%m/%Y', datetime(start_time, 'unixepoch')) AS start_time_date,	ROUND((total_size / 1048576), 2) AS total_size_mbFROM	processesWHERE	name LIKE '%RTProtection%';

Obtenén la IP actual de los hosts

Compatibilidad: Mac, Windows, Linux

SELECT	JSON_EXTRACT(result, '$.ip') AS ip,	JSON_EXTRACT(result, '$.city') AS city,	JSON_EXTRACT(result, '$.region') AS region,	JSON_EXTRACT(result, '$.country') AS countryFROM	curlWHERE	url = 'http://ipapi.co/json';

 

Políticas

Comprueba si el dispositivo todavía está registrado en Intune

Compatibilidad: Windows

Esta política fallará si el dispositivo aún está inscrito en Intune.

SELECT 1FROM	registryWHERE	path LIKE 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\%%'	AND name =  "DiscoveryServiceFullURL"	AND data NOT IN ("https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc","https://discovery.dm.microsoft.com/EnrollmentConfiguration?api-version=1.0")

Comprueba presencia de aplicaciones

Por ejemplo, para instalar una aplicación si falta.

Mac

SELECT 1 FROM apps WHERE bundle_identifier = 'your_bundle_identifier';

Para encontrar el identificador del paquete de una aplicación, ejecuta el siguiente comando en la Terminal: osascript -e 'id of app "application_name"'

 
 
 

Windows

SELECT 1 FROM programs WHERE name LIKE '%application_name%';
 
 

Detecta si una aplicación se está ejecutando

SELECT	1FROM	processesWHERE	name LIKE '% process_name %';

 

¿Te ha sido útil este artículo?

Give feedback about this article

Artículos relacionados:

¿No encuentras lo que estás buscando?

Nuestro equipo de servicio al cliente está aquí para ti.

Contáctanos

Knowledge Base Software powered by Helpjuice