Søk i denne bloggen

Cortex XDR - XQL-QUERY: Client software version

 

Hvis du har Cortex XDR så vil jeg anbefale å kjøre denne som en XQL-QUERY:


dataset = xdr_data 
| filter (action_process_file_info contains """version""")
| alter productName = action_process_file_info -> product_name
| alter productVersion = action_process_file_info -> product_version
| fields productName, productVersion, agent_hostname , action_process_username 
| sort asc  productVersion 
| comp last(_time ) as Time by agent_hostname,  productName, productVersion, action_process_username  
| filter (productName = """Firefox""")  


Lagre den som Widget to library og legg til ditt (nye) Software Dashboard.




Du kan lage flere av den slik at du har for Firefox, Chrome osv
Den gir en veldig grei oversikt over hvilke enheter som bør oppgraderes.

at

Cortex XDR - XQL-QUERY: PANOS installed and HA-sync

 

Hvis du har Cortex XDR med Pro pr TB så vil jeg anbefale å kjøre denne som en XQL-QUERY:


 dataset = panw_ngfw_system_raw 
| filter (event_description contains """Peer device running""")  or (event_description contains """Installed panos software version""")
| fields log_source_name , log_source_id , event_description 
| sort desc _insert_time 

Lagre den som Widget to library og legg til default Dashboard.


Den gir en veldig grei oversikt over PANOS som er installert og om det er noen HA-brannmurer som ikke er oppgradert.
at

Cortex XDR - XQL-QUERY: Low free space on c:

 

Hvis du har Cortex XDR med Host Insight så vil jeg anbefale å kjøre denne som en XQL-QUERY:

config case_sensitive = false
| dataset = host_inventory
| arrayexpand disks
| alter disks = json_extract(disks, "$.name"), free_space = to_integer(json_extract(disks, "$.free_space")), size = json_extract(disks, "$.size")
| alter free_space_KB = divide(free_space, 1024) // convert bytes to KB
| alter free_space_MB = divide(free_space_KB, 1024) // convert KB to MB
| alter free_space_GB = divide(free_space_MB, 1024) // convert MB to GB
| filter free_space_GB < 1
| filter (disks = """\"C:\"""")
| fields disks , free_space_MB  , _time  , host_name , agent_domain , ip_addresses , os_caption

Lagre den som Widget to library og legg til default Dashboard.





Den vil da se ca slik ut på ditt Dashboard



Denne er kun for disk c: og kun der det er mindre ledig en 1GB, dette kan du selvfølgelig endre på om du ønsker det.



at
Abonner på: Innlegg (Atom)