Búsqueda con IA
Debe inscribirse en el Early Access Program de nuevas funciones de IA para utilizar esta función.
Búsqueda con IA le permite buscar datos en Sophos Data Lake sin escribir consultas SQL.
La búsqueda con IA puede encontrar detecciones y datos de estaciones de trabajo en Data Lake. Puede buscar indicadores de peligro (IOC) y otros datos como direcciones IP, nombres de usuario, archivos o actividad de la estación de trabajo.
Búsqueda con IA sugiere consultas que puede ejecutar o crea consultas basadas en preguntas en lenguaje natural que usted introduce. No es necesario que escriba consultas SQL.
Ejecutar consultas
Puede usar la consultas que sugerimos o crear las suyas propias.
Usar una consulta sugerida
Para utilizar una consulta sugerida, haga lo siguiente:
- Vaya a Centro de análisis de amenazas > Búsqueda con IA.
-
En el menú de la izquierda de la página, seleccione los datos que desea buscar:
- Detecciones le permite consultar datos en detecciones de amenazas.
- Datos de estaciones le permite consultar datos sobre sus dispositivos y la actividad en ellos.
-
Si es la primera vez que abre Búsqueda con AI después de iniciar sesión en Sophos Central, verá las consultas sugeridas en la barra de búsqueda.
Las sugerencias se seleccionan aleatoriamente de nuestra lista de consultas preconfiguradas.
Las consultas sugeridas pueden variar cada vez que abra la página Búsqueda con AI. Para ver más, actualice la página.
-
Haga clic en una consulta.
Cuando la consulta se muestre en la barra de búsqueda, puede modificarla si lo desea. Por ejemplo, podría escribir un intervalo de tiempo como "en los últimos 30 días" al final de la consulta.
-
Haga clic en Buscar.
La consulta se ejecuta y los resultados se muestran en una tabla:
- La tabla puede mostrar un máximo de 1000 resultados.
- Los datos se conservan durante 90 días (o 1 año si tiene una licencia complementaria de Almacenamiento de datos en Central – Paquete de 1 año).
Crear consultas
Para crear su propia consulta, haga lo siguiente:
- Vaya a Centro de análisis de amenazas > Búsqueda con IA.
-
En el menú de la izquierda de la página, seleccione los datos que desea buscar:
- Detecciones le permite consultar datos en detecciones de amenazas.
- Datos de estaciones le permite consultar datos sobre sus dispositivos y la actividad en ellos.
-
Introduzca una consulta en sus propias palabras en la barra de búsqueda.
-
Haga clic en Buscar.
La consulta se ejecuta y los resultados se muestran en una tabla.
- La tabla puede mostrar un máximo de 1000 resultados.
- Los datos se conservan durante 90 días (o 1 año si tiene una licencia complementaria de Almacenamiento de datos en Central – Paquete de 1 año).
Si desea utilizar la consulta de nuevo en el futuro, guárdela. Así podrá ejecutarla en otro momento en la página Búsqueda con AI o en Live Discover. Consulte Guardar una consulta.
Para ver la sintaxis SQL de su consulta, expanda la sección Consulta generada.
Establecer un intervalo de tiempo
Por defecto, las consultas tienen un intervalo de tiempo de 24 horas.
Para cambiar el intervalo de tiempo, incluya el intervalo de tiempo que desee, por ejemplo, "en los últimos 7 días", en la consulta en la barra de búsqueda.
Puede añadir un intervalo de tiempo a una consulta sugerida o incluirlo en el enunciado de su propia consulta.
Recomendaciones sobre los intervalos de tiempo
La monitorización de las estaciones de trabajo puede generar grandes volúmenes de datos. Por lo tanto, las consultas que abarcan amplios intervalos de tiempo pueden afectar significativamente al rendimiento. Para obtener los mejores resultados, haga lo siguiente:
- Empiece con un intervalo pequeño: Empiece por el intervalo de tiempo más reducido posible. Puede ser de unas pocas horas o, como máximo, de un día.
- Amplíe el intervalo de forma gradual: Aumente el intervalo de tiempo solamente si no encuentra lo que necesita.
- Sea específico: Incluya restricciones de tiempo precisas en su consulta en lenguaje natural siempre que sea posible. Ejemplo: "Últimas 4 horas". En caso contrario, se aplicarán los valores predeterminados.
- Tenga cuidado con las búsquedas lentas o los tiempos de espera: Las consultas que abarcan días o semanas pueden agotar el tiempo de espera o experimentar latencia extrema, en función del volumen de datos.
Guardar una consulta
Puede guardar la consulta para volver a utilizarla. Guarde la consulta de una de las siguientes maneras:
-
Copie la consulta en el portapapeles. Expanda la sección Consulta generada y haga clic en el icono Copiar
a la derecha de la página.
-
Haga clic en Guardar consulta. Esto guarda la consulta en una nueva categoría llamada Búsqueda con IA en Live Discover, donde puede ejecutarla más tarde. Consulte Live Discover
-
Haga clic en Exportar. Esto exporta la sintaxis SQL de la consulta y los resultados de la consulta en formato CSV. El archivo CSV se descarga automáticamente en su carpeta de descargas predeterminada.
Resultados de la consulta
Los resultados de la consulta aparecen en la tabla de la parte inferior de la página.
Obtener más información
Puede obtener más detalles de las detecciones o dispositivos que se muestran en los resultados de la consulta.
Para ver más detalles de una detección, haga clic en el enlace de la columna Regla de detección. Esto muestra los mismos detalles que la página Detecciones en el Centro de análisis de amenazas. Consulte Detecciones.
Para ver más detalles de un dispositivo, haga clic en su nombre en la columna Nombre de host.