Créer une requête InstaQuery

  1. Dans la barre de menus de la console de gestion, cliquez sur Focus > InstaQuery.
  2. Effectuez l'une des opérations suivantes :

    Tâche

    Étapes

    Créez une requête InstaQuery.
    Si vous souhaitez cloner une requête précédente, développez la section Requêtes précédentes, recherchez la requête de votre choix, puis cliquez sur Cloner la requête.
    1. Dans le champ Terme de recherche, saisissez la valeur que vous souhaitez rechercher (par exemple, un nom de fichier, un hachage, un processus, une valeur de registre, etc.). Si vous souhaitez rechercher une correspondance exacte, cochez la case Correspondance exacte.
    2. Dans la liste déroulante Artefact, cliquez sur un type d'artefact.
    3. Dans la liste déroulante Facette, cliquez sur la facette appropriée.
    4. Dans la liste déroulante Zone, sélectionnez une ou plusieurs zones.
    5. Saisissez le nom et la description de la requête.
    6. Cliquez sur Soumettre la requête.
    7. L'état actuel de la requête s'affiche dans la section Requêtes précédentes. Une fois la requête terminée, cliquez sur Afficher les résultats.

    Afficher une requête InstaQuery précédente.
    1. Développez la section Requêtes précédentes.
    2. Pour la requête que vous souhaitez afficher, cliquez sur Afficher les résultats.
  3. Dans la section Résultats InstaQuery, vous pouvez développer le menu Actions pour accéder aux actions disponibles pour chaque résultat. En fonction du type de résultat, les actions suivantes peuvent être disponibles :
    • Demander et afficher les données détaillées
    • Mettre le fichier en quarantaine globale ; le fichier s'affiche sous Paramètres > Liste globale > Quarantaine globale, dans Protection > Menaces et dans la section Menaces la des détails du terminal.
    • Demander et télécharger un fichier; si des informations de chemin sont disponibles pour des fichiers associés à d'autres types d'artefacts, vous pouvez également télécharger ces fichiers. Le fichier est compressé et protégé par un mot de passe afin d'éviter toute exécution par erreur. Le mot de passe est « infecté ».

      La taille maximum pour la récupération de fichiers est de 50 Mo. Les artefacts et les fichiers sont conservés par Aurora Focus pendant 30 jours (cette période peut être prolongée en fonction des licences de votre organisation).

  4. Pour afficher la répartition des facettes InstaQuery, dans la section Résultats InstaQuery, cliquez sur l'icône de répartition des facettes.