Sujets populaires: À propos de la compensation des heures supplémentaires par une majoration de salaire À propos des pauses

Page du Support / Gestion de l’IT / Factorial IT / Gestion des appareils mobiles (MDM) / Commencez avec la MDM / Scripts, Requêtes et Politiques 
Retour

Bibliothèque OSQuery pour les requêtes et les politiques

Découvrez comment utiliser la bibliothèque OSQuery pour créer des requêtes et des politiques de sécurité efficaces dans votre système.

SOMMAIRE

Requêtes Obtenez un aperçu des utilisateurs Entra connectés aux hôtes. Analysez les processus spécifiques en cours d'exécution pour comprendre la quantité de RAM/CPU qu'ils consomment. Récupérer l'adresse IP actuelle auprès des hôtes Politiques Vérifiez si l'appareil est toujours inscrit à Intune. Vérifier la présence des applications Mac Windows Détecter si une application est en cours d'exécution

Explorez différentes requêtes et stratégies SQL OSQuery pour surveiller les sessions utilisateur Entra, analyser l'utilisation des ressources des processus, récupérer les informations IP actuelles et vérifier l'inscription des appareils dans Intune, ainsi que la présence et l'activité des applications sur différents systèmes d'exploitation.

 

Requêtes

Obtenez un aperçu des utilisateurs Entra connectés aux hôtes.

Compatibilité : Windows

SELECT	upn,	user,	logon_domain,	dns_domain_name,	authentication_packageFROM	logon_sessionsWHERE	upn LIKE "< your email domain here >"GROUP BY	upn

Analysez les processus spécifiques en cours d'exécution pour comprendre la quantité de RAM/CPU qu'ils consomment.

Compatibilité : Mac, Windows, Linux

Dans cet exemple, nous examinons les processus dont le nom contient RTProtection (abréviation de « protection en temps réel », autrement dit, les logiciels de type antivirus/EDR). Nous récupérons leur pid (identifiant du processus), name , system_time (que nous divisons par 86 400 pour la convertir en jours), start_time (que nous convertissons au format jj/mm/aaaa) et la RAM consommée ( total_size que nous divisons par 1 048 576 pour l’obtenir en mégaoctets).

SELECT	pid,	name,	ROUND((system_time / 86400), 2) AS system_time_days,	strftime('%d/%m/%Y', datetime(start_time, 'unixepoch')) AS start_time_date,	ROUND((total_size / 1048576), 2) AS total_size_mbFROM	processesWHERE	name LIKE '%RTProtection%';

Récupérer l'adresse IP actuelle auprès des hôtes

Compatibilité : Mac, Windows, Linux

SELECT	JSON_EXTRACT(result, '$.ip') AS ip,	JSON_EXTRACT(result, '$.city') AS city,	JSON_EXTRACT(result, '$.region') AS region,	JSON_EXTRACT(result, '$.country') AS countryFROM	curlWHERE	url = 'http://ipapi.co/json';

 

Politiques

Vérifiez si l'appareil est toujours inscrit à Intune.

Compatibilité : Windows

Cette stratégie échouera si l'appareil est toujours inscrit à Intune.

SELECT 1FROM	registryWHERE	path LIKE 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\%%'	AND name =  "DiscoveryServiceFullURL"	AND data NOT IN ("https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc","https://discovery.dm.microsoft.com/EnrollmentConfiguration?api-version=1.0")

Vérifier la présence des applications

Par exemple, pour installer une application si elle est manquante.

Mac

SELECT 1 FROM apps WHERE bundle_identifier = 'your_bundle_identifier';

Pour trouver l'identifiant du bundle d'une application, exécutez la commande suivante dans le Terminal : osascript -e 'id of app "application_name"'

 
 
 

Windows

SELECT 1 FROM programs WHERE name LIKE '%application_name%';
 
 

Détecter si une application est en cours d'exécution

SELECT	1FROM	processesWHERE	name LIKE '% process_name %';

 

Cet article vous a-t-il aidé ?

Give feedback about this article

Questions similaires:

Vous ne trouvez pas ce que vous cherchez ?

Notre équipe de service client est là pour vous.

Nous contacter

Knowledge Base Software powered by Helpjuice