Vai al contenuto

Ricerca con IA

Per poter utilizzare questa funzionalità, occorre iscriversi all’Early Access Program (EAP) Nuove funzionalità di IA.

La Ricerca con IA permette di cercare dati nel Sophos Data Lake senza dover scrivere query SQL.

La Ricerca con IA è in grado di trovare rilevamenti e dati sugli endpoint nel Data Lake. È possibile cercare Indicatori di compromissione (IoC) o altri dati, ad esempio indirizzi IP, nomi utente, file o attività degli endpoint.

La Ricerca con IA suggerisce le query che è possibile eseguire, oppure compila query per conto dell’utente in base alle domande in linguaggio naturale che vengono inserite. Non occorre scrivere query SQL.

Esecuzione di query

È possibile utilizzare le query suggerite da noi, oppure crearne di personalizzate.

Utilizzo di una query suggerita

Per utilizzare una query suggerita, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Ricerca con IA.
  2. Nel menu nella parte sinistra della pagina, selezionare i dati che si desidera cercare:

    • Rilevamenti permette di eseguire query sui dati dei rilevamenti delle minacce.
    • Dati endpoint consente di eseguire query sui dispositivi e sulle rispettive attività.

    Menu a discesa dei tipi di ricerca.

  3. Se è la prima volta che si apre la Ricerca con IA dopo aver effettuato l’accesso a Sophos Central, sotto la barra di ricerca verranno visualizzate query suggerite.

    I suggerimenti verranno selezionati casualmente dal nostro elenco di query preconfigurate.

    Saranno visualizzati suggerimenti diversi per le query ogni volta che si apre la pagina Ricerca con IA. Per vederne altri, aggiornare la pagina.

    Query suggerite.

  4. Cliccare su una query.

    Quando la query viene visualizzata nella barra di ricerca, è possibile modificarla, se si desidera. Ad esempio, è possibile digitare un intervallo di tempo come “negli ultimi 30 giorni” alla fine della query.

  5. Cliccare su Cerca.

    La query si eseguirà e i risultati verranno visualizzati in una tabella:

    • La tabella può mostrare fino a 1.000 risultati.
    • I dati verranno conservati per 90 giorni (o 1 anno in presenza di una licenza add-on Archiviazione dei dati per Central - Pacchetto di 1 anno).

Creazione di una query

Per creare una query personalizzata, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Ricerca con IA.
  2. Nel menu nella parte sinistra della pagina, selezionare i dati che si desidera cercare:

    • Rilevamenti permette di eseguire query sui dati dei rilevamenti delle minacce.
    • Dati endpoint consente di eseguire query sui dispositivi e sulle rispettive attività.

    Menu a discesa dei tipi di ricerca.

  3. Inserire una query in linguaggio naturale nella barra di ricerca.

    Query inserita dal cliente.

  4. Cliccare su Cerca.

    La query si eseguirà e i risultati verranno visualizzati in una tabella.

    • La tabella può mostrare fino a 1.000 risultati.
    • I dati verranno conservati per 90 giorni (o 1 anno in presenza di una licenza add-on Archiviazione dei dati per Central - Pacchetto di 1 anno).

Se si desidera utilizzare nuovamente la query in futuro, occorrerà salvarla. Sarà quindi possibile eseguirla in un secondo momento nella pagina Ricerca con IA o in Live Discover. Vedere Salvataggio di una query.

Per visualizzare la sintassi SQL della propria query, espandere la sezione Query generata.

Dettagli SQL della query generata.

Impostazione di un intervallo di tempo

Per impostazione predefinita, le query hanno un intervallo di tempo di 24 ore.

Per modificare l’intervallo di tempo, aggiungere alla query l’intervallo di tempo desiderato, ad esempio “negli ultimi 7 giorni”, nella barra di ricerca.

È possibile aggiungere un intervallo di tempo a una query suggerita, oppure includerlo nella formulazione della propria query.

Raccomandazioni per l’intervallo di tempo

Il monitoraggio degli endpoint può generare volumi elevati di dati. Di conseguenza, le query eseguite su intervalli di tempo molto lunghi possono avere un impatto significativo sulla performance. Per ottenere risultati ottimali, procedere come segue:

  • Iniziare con un intervallo breve: iniziare con il più breve intervallo di tempo possibile, che può essere poche ore o al massimo un giorno.
  • Aumentare gradualmente: incrementare l’intervallo di tempo solo se non si trovano le informazioni di cui si ha bisogno.
  • Essere specifici: se possibile, includere limiti di tempo precisi nella query in linguaggio naturale. Esempio: “Ultime 4 ore”. In caso contrario, verranno applicate le impostazioni predefinite.
  • Fare attenzione alle query lente o ai timeout: le query su intervalli di tempo di vari giorni o settimane potrebbero risultare in un timeout o essere caratterizzate da una latenza estrema, in base al volume di dati.

Salvataggio di una query

È possibile salvare la query in modo da poterla utilizzare di nuovo. Questa operazione viene eseguita in uno dei seguenti modi:

  • Copiare la query negli appunti. Espandere la sezione Query generata e cliccare sull’icona di Copia Icona di copia. nella parte destra della pagina.

  • Cliccare su Salva query. Con questa opzione, la query viene salvata in una nuova categoria denominata Ricerca con IA in Live Discover, dove sarà possibile eseguirla in futuro. Vedere Live Discover.

  • Cliccare su Esporta. Questa operazione esporta la sintassi SQL e i risultati della query in formato CSV. Il file CSV verrà scaricato e salvato nella cartella di download predefinita.

Risultati della query

I risultati della query verranno visualizzati nella tabella in fondo alla pagina.

Risultati della query.

Maggiori dettagli

È possibile ottenere maggiori dettagli per i rilevamenti o i dispositivi visualizzati nei risultati delle query.

Per visualizzare maggiori dettagli per un rilevamento, cliccare sul link nella colonna Regola di rilevamento. Verranno visualizzati gli stessi dettagli della pagina Rilevamenti nel Centro di analisi delle minacce. Vedere Rilevamenti.

Per visualizzare maggiori dettagli per un dispositivo, cliccare sul link nella colonna Nome host.