AI 搜尋
您必須擁有 Sophos EDR、XDR 或 MDR 才能使用此功能。
AI 搜尋 讓您無須撰寫 SQL 查詢,即可搜尋 Sophos Data Lake 中的資料。
AI 搜尋 可在 Data Lake 中找出偵測結果與端點資料。您可以搜尋入侵指標 (IOC) 或其他資料,例如 IP 位址、使用者名稱、檔案或端點活動。
AI 搜尋會根據您輸入的自然語言問題,建議可以執行的查詢或為您建立查詢。您無需撰寫 SQL 查詢。
執行查詢
您可以使用系統建議的查詢,或自行建立查詢。
使用建議的查詢
若要執行查詢,請依照以下步驟進行:
- 前往 威脅分析中心 > AI 搜尋。
-
在頁面左側的功能表中,選取您要搜尋的資料類型:
- 偵測 可讓您查詢威脅偵測相關的資料。
- 端點資料 可讓您查詢裝置及其活動相關的資料。
注意
端點資料 搜尋僅支援 Windows 裝置。
-
如果這是您登入 Sophos Central 後第一次開啟 AI 搜尋,搜尋列下方會顯示建議的查詢。
這些建議會從我們預先設定的查詢清單中隨機選取。
每次開啟 AI 搜尋 頁面時,您看到的建議查詢都會不同。若要查看更多資訊,請重新整理頁面。
-
按一下某查詢。
當查詢顯示在搜尋欄中時,您可以根據需要進行修改。例如,您可以在查詢的末尾輸入像是「過去 30 天」的時間範圍。
-
按一下 搜尋。
查詢執行後,結果將顯示在表格中:
- 該表格最多可顯示 1,000 筆結果。
- 資料會保留 90 天 (如果您擁有 Central Data 1 年儲存套件 附加授權,則為 1 年)。
建立查詢
若要建立您自己的查詢,請按照以下步驟操作:
- 前往 威脅分析中心 > AI 搜尋。
-
在頁面左側的功能表中,選取您要搜尋的資料類型:
- 偵測 可讓您查詢威脅偵測相關的資料。
- 端點資料 可讓您查詢裝置及其活動相關的資料。
注意
端點資料 搜尋僅支援 Windows 裝置。
-
在搜尋欄中以您自己的語言輸入查詢。
-
按一下 搜尋。
查詢執行後,結果將顯示在表格中。
- 該表格最多可顯示 1,000 筆結果。
- 資料會保留 90 天 (如果您擁有 Central Data 1 年儲存套件 附加授權,則為 1 年)。
如果您想將來再次使用此查詢,請儲存它。然後,您可以稍後在 AI 搜尋 頁面或 Live Discover 中執行它。請參閱 儲存查詢。
若要查看查詢的 SQL 語法,請展開 產生查詢 區段。
設定時間範圍
預設情況下,查詢的時間範圍為 24 小時。
若要更改時間範圍,請在搜尋欄中的查詢中包含您想要的時間範圍,例如「過去 7 天」。
您可以將時間範圍新增到建議的查詢中,或將其包含在您自己查詢的文字中。
時間範圍建議
端點監控可產生大量資料。因此,跨越廣泛時間範圍的查詢可能會顯著影響效能。為了獲得最佳效果,請按照以下步驟進行:
- 開始狹窄: 從最短的時間範圍開始。這可能需要幾小時,或最多一天。
- 逐步擴展只有在找不到所需的內容時,才增加時間範圍。
- 請具體在自然語言查詢中盡可能包含精確的時間限制。範例:最近 4 小時否則將套用預設設定。
- 當心慢查詢或超時跨越數天或數週的查詢,可能會因資料量而逾時或遇到極端的延遲。
儲存查詢
您可以儲存查詢,以便將來重複使用。請以以下其中一種方式儲存查詢:
-
將查詢複製到剪貼簿。展開 產生查詢 區段,然後按一下頁面右側的複製圖示
。 -
按一下 儲存查詢。這會將查詢儲存到 Live Discover 中名為 AI 搜尋 的新類別,您可以稍後執行它。請參閱 Live Discover。
-
按一下 匯出。這會將查詢的 SQL 語法和查詢結果以 CSV 格式匯出。CSV 檔案會自動下載到您的預設下載資料夾。
查詢結果
您可以在頁面底部的表格中查看查詢結果。
取得更多詳細資料
您可以獲取查詢結果中顯示的偵測或裝置的更多詳細資訊。
若要查看偵測的更多詳細資訊,請按一下 偵測規則 欄位中的連結。這會顯示與威脅分析中心中的 偵測 頁面相同的詳細資訊。請參閱 偵測。
若要查看裝置的更多詳細資訊,請按一下 主機名稱 欄位中的名稱。