InstaQuery und erweiterte Abfragen sind Aurora Focus-Funktionen, mit denen Sie Artefaktdaten analysieren können, um Gefährdungsindikatoren zu erkennen und deren Verbreitung auf den Geräten Ihres Unternehmens zu bestimmen. Aus den Ergebnissen einer Abfrage geht nicht hervor, wie oder wann ein Artefakt verwendet wurde, sondern sie weisen darauf hin, ob jemals ein Artefakt auf eine forensisch signifikante Weise beobachtet wurde, die eine Gefahr für die Geräte und Daten Ihres Unternehmens signalisieren kann.

Mit InstaQuery können Sie eine Reihe von Geräten nach dem Vorhandensein eines bestimmten Typs von forensischen Artefakten abfragen und feststellen, wie häufig dieses Artefakt auftritt. Erweiterte Abfragen sind eine Weiterentwicklung von InstaQuery, die mithilfe der EQL-Syntax detailliertere Suchfunktionen bietet, um die Erkennung von Bedrohungen zu verbessern.

Nachdem Sie den Aurora Focus-Agenten auf einem Gerät installiert und aktiviert haben, erfasst der Agent Artefakte und speichert sie in der Aurora Focus-Datenbank. Bei Aurora Focus-Agent 2.x und früher wird die Datenbank lokal auf dem Gerät gespeichert. Ab Aurora Focus-Agent 3.0 lädt der Agent Daten automatisch hoch und speichert sie in der Aurora Focus-Cloud-Datenbank. Wenn Sie eine Abfrage erstellen, werden forensisch relevante Daten aus der Aurora Focus-Datenbank abgerufen. Sie können die Ergebnisse in der Verwaltungskonsole anzeigen und untersuchen.

Bei Geräten mit Aurora Focus-Agent 2.x und früher können Abfragen nur erfolgreich abgeschlossen werden, wenn ein Gerät online ist. Bei Geräten mit Agent 3.0 und höher muss das Gerät nicht online sein, da die Abfrage die neuesten in der Aurora Focus-Cloud-Datenbank verfügbaren Daten verwendet.

Mit einer einzelnen Abfrage können maximal 10.000 Ergebnisse angezeigt und gespeichert werden. Die Ergebnisse einer Abfrage werden 60 Tage lang aufbewahrt.

Beachten Sie die folgenden Details zu bestimmten Artefakten, die Sie abfragen können: