Vai al contenuto

Ricerca con IA

Per poter utilizzare questa funzionalità, occorre iscriversi all’Early Access Program (EAP) Nuove funzionalità di IA.

La Ricerca con IA consente di cercare i dati nel Sophos Data Lake senza dover scrivere query SQL.

Attualmente, la Ricerca con IA è in grado di trovare dati solo per i Rilevamenti nel Data Lake. È possibile cercare Indicatori di compromissione (IoC) o altri dati, ad esempio indirizzi IP o nomi utente.

La Ricerca con IA suggerisce le query che è possibile eseguire, oppure compila query per conto dell’utente in base alle domande in linguaggio naturale inserite. Non occorre scrivere query SQL.

Nota

È ancora possibile utilizzare la funzionalità di Ricerca originale, che esegue query sui dati di Endpoint, ovvero sui dati più recenti dei dispositivi, anziché del Data Lake.

Esecuzione di query

È possibile utilizzare le query suggerite da noi, oppure crearne di personalizzate.

Utilizzo di una query suggerita

Per utilizzare una query suggerita, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Ricerca con IA.
  2. Se è la prima volta che si apre la Ricerca con IA dopo aver effettuato l’accesso a Sophos Central, sotto la barra di ricerca verranno visualizzate query suggerite.

    I suggerimenti verranno selezionati casualmente dal nostro elenco di query preconfigurate.

    Saranno visualizzati suggerimenti diversi per le query ogni volta che si apre la pagina Ricerca con IA. Per vederne altri, aggiornare la pagina.

    Query suggerite.

  3. Cliccare su una query.

    Quando la query viene visualizzata nella barra di ricerca, è possibile modificarla, se si desidera. Ad esempio, è possibile digitare un intervallo di tempo come “negli ultimi 30 giorni” alla fine della query.

  4. Cliccare su Cerca.

    La query si eseguirà e i risultati verranno visualizzati in una tabella:

    • La tabella può mostrare fino a 1.000 risultati.
    • I dati verranno conservati per 90 giorni (o 1 anno in presenza di una licenza add-on Archiviazione dei dati per Central - Pacchetto di 1 anno).

Creazione di una query

Per creare una query personalizzata, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Ricerca con IA.
  2. Inserire una query in linguaggio naturale nella barra di ricerca.

    Query inserita dal cliente.

  3. Cliccare su Cerca.

    La query si eseguirà e i risultati verranno visualizzati in una tabella.

    • La tabella può mostrare fino a 1.000 risultati.
    • I dati verranno conservati per 90 giorni (o 1 anno in presenza di una licenza add-on Archiviazione dei dati per Central - Pacchetto di 1 anno).

Se si desidera utilizzare nuovamente la query in futuro, occorrerà salvarla. Sarà quindi possibile eseguirla in un secondo momento nella pagina Ricerca con IA o in Live Discover. Vedere Salvataggio di una query.

Per visualizzare la sintassi SQL della propria query, espandere la sezione Query generata.

Dettagli SQL della query generata.

Impostazione di un intervallo di tempo

Per impostazione predefinita, le query hanno un intervallo di tempo di 24 ore.

Per modificare l’intervallo di tempo, aggiungere alla query l’intervallo di tempo desiderato, ad esempio “negli ultimi 7 giorni”, nella barra di ricerca.

È possibile aggiungere un intervallo di tempo a una query suggerita, oppure includerlo nella formulazione della propria query.

Salvataggio di una query

È possibile salvare la query in modo da poterla utilizzare di nuovo. Questa operazione viene eseguita in uno dei seguenti modi:

  • Copiare la query negli appunti. Espandere la sezione Query generata e cliccare sull’icona di Copia Icona di copia. nella parte destra della pagina.

  • Cliccare su Salva query. Con questa opzione, la query viene salvata in una nuova categoria denominata Ricerca con IA in Live Discover, dove sarà possibile eseguirla in futuro. Vedere Live Discover.

  • Cliccare su Esporta. Questa operazione esporta la sintassi SQL e i risultati della query in formato CSV. Il file CSV verrà scaricato e salvato nella cartella di download predefinita.

Risultati della query

I risultati della query verranno visualizzati nella tabella in fondo alla pagina.

Risultati della query.

Maggiori dettagli

È possibile ottenere maggiori dettagli per i rilevamenti o i dispositivi visualizzati nei risultati delle query.

Per visualizzare maggiori dettagli per un rilevamento, cliccare sul link nella colonna Regola di rilevamento. Verranno visualizzati gli stessi dettagli della pagina Rilevamenti nel Centro di analisi delle minacce. Vedere Rilevamenti.

Per visualizzare maggiori dettagli per un dispositivo, cliccare sul link nella colonna Nome host.