Buscar
La búsqueda de XDR le permite encontrar datos específicos en Sophos Data Lake.
Puede buscar indicadores de peligro (IOC) y otros datos como direcciones IP o nombres de usuario.
Crear y ejecutar una búsqueda
Puede crear búsquedas de dos formas diferentes:
- Crear una búsqueda básica utilizando nuestro generador de búsqueda. Esta es la opción predeterminada.
- Crear una búsqueda avanzada utilizando el lenguaje de consulta Lucene o la introducción de texto libre.
Para obtener instrucciones al respecto, seleccione la ficha correspondiente a continuación.
Las búsquedas básicas son fáciles de crear.
Puede crear una búsqueda básica utilizando nuestro generador de búsqueda interactivo.
-
Vaya a Centro de análisis de amenazas > Buscar.
-
Seleccione un intervalo de tiempo para las detecciones que desea buscar.
-
Seleccione los datos que desea buscar. Actualmente, solo es posible buscar datos de estaciones de trabajo.
-
En la barra de búsqueda, haga clic en el icono Añadir para ver los campos de búsqueda más utilizados.
-
En el cuadro de diálogo De uso habitual, haga clic en un campo.
-
En Generador de búsqueda, utilice el menú desplegable para añadir un operador como
IS
oINCLUDES
, e introduzca un valor.Por ejemplo:
Device IP IS 148.139.13.160
-
Si lo desea, haga clic en Fila para seleccionar un operador (
AND
OR
oNOT
) y añadir otro campo. A continuación, haga clic en Añadir.Por ejemplo:
hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP
-
Opcionalmente, seleccione los campos de datos que desea ver en los resultados. Haga clic en Columnas y seleccione los campos que desee.
-
Haga clic en Buscar. Verá los resultados en el panel inferior.
-
Para ver todos los detalles de una detección, haga clic en la flecha que aparece junto a ella.
Actualmente, no es posible guardar las búsquedas ni realizar acciones en las detecciones de los resultados.
Puede crear una búsqueda avanzada utilizando el lenguaje de consulta Lucene o introduciendo su propio texto.
Para crear una búsqueda avanzada, haga lo siguiente:
-
Haga clic en Cambiar a consulta avanzada.
-
En la barra de búsqueda, introduzca campos de datos y parámetros o texto libre, como se describe en las secciones siguientes.
- Haga clic en Buscar. Verá los resultados en el panel inferior.
Utilizar campos de datos y parámetros
Introduzca el campo de datos seguido de dos puntos y, a continuación, el parámetro de búsqueda. Para obtener más información sobre los campos de datos que puede utilizar, consulte Campos de datos para la búsqueda.
Puede crear búsquedas con varios campos de datos. Aquí tiene algunos ejemplos:
process_name:lsass AND username:admin OR username:system
sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"
Para obtener ayuda, consulte el tutorial de Lucene.
Utilizar entrada de texto libre
Introduzca una cadena de texto para buscar detecciones que incluyan el texto introducido. Para cadenas como direcciones MAC o direcciones IP, que incluyen caracteres especiales, use comillas en las búsquedas de texto libre.
Aquí tiene algunos ejemplos:
0a43ff3773e7fcbb9a98029957c41bc3af56ae94
jdoe
"00:00:5e:00:53:af"
Configurar la lista de resultados
Puede aceptar las columnas predeterminadas que aparecen en los resultados o cambiarlas y reordenarlas.
Columnas predeterminadas
De forma predeterminada, las siguientes columnas se muestran en los resultados.
Columna | Detalles |
---|---|
vez | - |
categoría | Por ejemplo, "red" |
activity_type | Por ejemplo, "sockets abiertos" |
nombre de host | - |
nombre de usuario | No se muestra si ningún usuario ha iniciado sesión, por ejemplo, en un servidor |
device_IP | - |
Añadir o eliminar columnas
Puede cambiar y reordenar las columnas de datos que se muestran en los resultados. Para cambiar las columnas que se muestran, haga clic en Columnas y seleccione las columnas que desee.
Reordenar columnas
Para cambiar el orden de las columnas en la tabla de resultados, haga lo siguiente: