Assuntos populares: Como entrar em contato com o Suporte ao Cliente? Sobre pausas

Página de Suporte / Gestão de TI / Factorial IT / Gerenciamento de Dispositivos Móveis (MDM) / Comece com o MDM / Scripts, Consultas e Políticas
Voltar

Biblioteca OSQuery para consultas e políticas

Aprenda como usar a biblioteca OSQuery para criar consultas e políticas de segurança de forma eficaz.

ÍNDICE

Consultas Obtenha um panorama de quais usuários do Entra estão conectados aos hosts. Analise processos específicos em execução para entender quanta RAM/CPU eles estão consumindo. Obtenha o endereço IP atual dos hosts. Políticas Verifique se o dispositivo ainda está registrado no Intune. Verificar a presença de candidaturas Mac Windows Detectar se um aplicativo está em execução

Explore diversas consultas e políticas SQL do OSQuery para monitorar sessões de usuários do Entra, analisar o uso de recursos do processo, recuperar informações de IP atuais e verificar o registro de dispositivos no Intune, além de detectar a presença e a atividade de aplicativos em diferentes sistemas operacionais.

 

Consultas

Obtenha um panorama de quais usuários do Entra estão conectados aos hosts.

Compatibilidade: Windows

SELECT	upn,	user,	logon_domain,	dns_domain_name,	authentication_packageFROM	logon_sessionsWHERE	upn LIKE "< your email domain here >"GROUP BY	upn

Analise processos específicos em execução para entender quanta RAM/CPU eles estão consumindo.

Compatibilidade: Mac, Windows, Linux

Neste exemplo, estamos analisando processos cujo nome contém RTProtection (abreviação de "proteção em tempo real", também conhecido como softwares antivírus/EDR). Obtemos o pid (ID do processo), name , system_time (que dividimos por 86400 para converter para dias), start_time (que convertemos para o formato dd/mm/aaaa) e a RAM consumida ( total_size , que dividimos por 1048576 para obter em megabytes).

SELECT	pid,	name,	ROUND((system_time / 86400), 2) AS system_time_days,	strftime('%d/%m/%Y', datetime(start_time, 'unixepoch')) AS start_time_date,	ROUND((total_size / 1048576), 2) AS total_size_mbFROM	processesWHERE	name LIKE '%RTProtection%';

Obtenha o endereço IP atual dos hosts.

Compatibilidade: Mac, Windows, Linux

SELECT	JSON_EXTRACT(result, '$.ip') AS ip,	JSON_EXTRACT(result, '$.city') AS city,	JSON_EXTRACT(result, '$.region') AS region,	JSON_EXTRACT(result, '$.country') AS countryFROM	curlWHERE	url = 'http://ipapi.co/json';

 

Políticas

Verifique se o dispositivo ainda está registrado no Intune.

Compatibilidade: Windows

Essa política falhará se o dispositivo ainda estiver inscrito no Intune.

SELECT 1FROM	registryWHERE	path LIKE 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\%%'	AND name =  "DiscoveryServiceFullURL"	AND data NOT IN ("https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc","https://discovery.dm.microsoft.com/EnrollmentConfiguration?api-version=1.0")

Verificar a presença de candidaturas

Por exemplo, para instalar um aplicativo caso ele esteja faltando.

Mac

SELECT 1 FROM apps WHERE bundle_identifier = 'your_bundle_identifier';

Para encontrar o identificador do pacote de um aplicativo, execute o seguinte comando no Terminal: osascript -e 'id of app "application_name"'

 
 
 

Windows

SELECT 1 FROM programs WHERE name LIKE '%application_name%';
 
 

Detectar se um aplicativo está em execução

SELECT	1FROM	processesWHERE	name LIKE '% process_name %';

 

Este artigo foi útil?

Give feedback about this article

Artigos relacionados

Não consegue encontrar o que procura?

A nossa equipe de atendimento ao cliente está aqui para ajudar.

Contato

Knowledge Base Software powered by Helpjuice

class="shortcode_"