Temas populares: Función de chat con un clic de WhatsApp ¿Cómo contactar con Soporte?

Support Home / Gestión de IT / Factorial IT / Gestión de Dispositivos Móviles (MDM) / Comienza con MDM / Scripts, Consultas y Políticas
Voltar

Biblioteca OSQuery para consultas y políticas

Explora cómo utilizar la Biblioteca OSQuery para optimizar consultas y políticas de seguridad en tu sistemas, aumentando la eficiencia y seguridad.

ÍNDICE

Consultas Obtenga una instantánea de qué usuarios de Entra están conectados a los hosts Analice procesos específicos que se ejecutan para comprender cuánta RAM/CPU están consumiendo Obtenga la IP actual de los hosts Políticas Compruebe si el dispositivo todavía está registrado en Intune Compruebe presencia de aplicaciones Mac Windows Detectar si una aplicación se está ejecutando

Explore varias consultas y políticas SQL de OSQuery para monitorear sesiones de usuarios de Entra, analizar el uso de recursos del proceso, recuperar información de IP actual y verificar la inscripción de dispositivos en Intune, junto con la presencia de aplicaciones y la detección de actividad en diferentes sistemas operativos.

 

Consultas

Obtenga una instantánea de qué usuarios de Entra están conectados a los hosts

Compatibilidad: Windows

SELECT	upn,	user,	logon_domain,	dns_domain_name,	authentication_packageFROM	logon_sessionsWHERE	upn LIKE "< your email domain here >"GROUP BY	upn

Analice procesos específicos que se ejecutan para comprender cuánta RAM/CPU están consumiendo

Compatibilidad: Mac, Windows, Linux

En este ejemplo, analizamos procesos cuyo nombre contiene RTProtection (abreviatura de "protección en tiempo real", también conocida como software antivirus/EDR). Obtenemos su pid (ID del proceso), name , system_time (que dividimos entre 86400 para convertirla a días), start_time (que convertimos al formato dd/mm/aaaa) y la RAM consumida ( total_size , que dividimos entre 1048576 para obtenerla en megabytes).

SELECT	pid,	name,	ROUND((system_time / 86400), 2) AS system_time_days,	strftime('%d/%m/%Y', datetime(start_time, 'unixepoch')) AS start_time_date,	ROUND((total_size / 1048576), 2) AS total_size_mbFROM	processesWHERE	name LIKE '%RTProtection%';

Obtenga la IP actual de los hosts

Compatibilidad: Mac, Windows, Linux

SELECT	JSON_EXTRACT(result, '$.ip') AS ip,	JSON_EXTRACT(result, '$.city') AS city,	JSON_EXTRACT(result, '$.region') AS region,	JSON_EXTRACT(result, '$.country') AS countryFROM	curlWHERE	url = 'http://ipapi.co/json';

 

Políticas

Compruebe si el dispositivo todavía está registrado en Intune

Compatibilidad: Windows

Esta política fallará si el dispositivo aún está inscrito en Intune.

SELECT 1FROM	registryWHERE	path LIKE 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\%%'	AND name =  "DiscoveryServiceFullURL"	AND data NOT IN ("https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc","https://discovery.dm.microsoft.com/EnrollmentConfiguration?api-version=1.0")

Compruebe presencia de aplicaciones

Por ejemplo, para instalar una aplicación si falta.

Mac

SELECT 1 FROM apps WHERE bundle_identifier = 'your_bundle_identifier';

Para encontrar el identificador del paquete de una aplicación, ejecute el siguiente comando en la Terminal: osascript -e 'id of app "application_name"'

 
 
 

Windows

SELECT 1 FROM programs WHERE name LIKE '%application_name%';
 
 

Detectar si una aplicación se está ejecutando

SELECT	1FROM	processesWHERE	name LIKE '% process_name %';

 

¿Te fue útil este artículo?

Give feedback about this article

Artículos relacionados:

¿No encuentras lo que estás buscando?

Nuestro equipo de servicio al cliente está aquí para ti.

Contáctanos

Knowledge Base Software powered by Helpjuice