Aller au contenu

Recherche IA

Vous devez rejoindre le programme d’accès anticipé des Nouvelles fonctions IA pour pouvoir utiliser cette option.

Recherche IA vous aide à rechercher des données dans le Sophos Data Lake sans écrire de requêtes SQL.

Actuellement, l’option Recherche IA couvre uniquement les données du Data Lake. Vous pouvez rechercher des indicateurs de compromission (IOC) ou d’autres données telles que des adresses IP ou des noms d’utilisateurs.

Recherche IA offre des suggestions de requêtes à exécuter, ou crée des requêtes pour vous en fonction des questions en langage naturel que vous saisissez. Vous n'avez pas besoin d'écrire des requêtes SQL.

Remarque

Vous pouvez toujours utiliser notre fonction de recherche d'origine. Celle-ci interroge les données des terminaux, qui sont les données les plus récentes provenant des appareils plutôt que du Data Lake.

Exécuter les demandes

Vous pouvez soit utiliser des requêtes préconfigurées, soit créer des requêtes sur mesure.

Utiliser une requête préconfigurée

Pour utiliser l’une des requêtes suggérées, procédez de la manière suivante :

  1. Allez dans Centre d’analyse des menaces > Recherche IA.
  2. Si c'est la première fois que vous ouvrez Recherche IA après vous être connecté à Sophos Central, vous verrez des suggestions de requêtes sous la barre de recherche.

    Les suggestions sont sélectionnées aléatoirement dans notre liste de requêtes préconfigurées.

    Différentes requêtes s’affichent à chaque fois que vous ouvrez la page Recherche IA. Pour en afficher d’autres, actualisez la page.

    Requêtes préconfigurées.

  3. Cliquez sur une requête.

    Lorsque la requête s'affiche dans la barre de recherche, vous pouvez la modifier si vous le souhaitez. Par exemple, vous pourriez ajouter une plage horaire comme « au cours des 30 derniers jours » à la fin de la requête.

  4. Cliquez sur Rechercher.

    La requête s'exécute et les résultats sont affichés dans un tableau :

    • Le tableau peut afficher un maximum de 1 000 résultats.
    • Les données sont conservées pendant 90 jours (ou 1 an si vous disposez d'une licence complémentaire Central Data 1-Year Storage Pack).

Création d’une requête

Pour créer la nouvelle appliance, procédez de la manière suivante :

  1. Allez dans Centre d’analyse des menaces > Recherche IA.
  2. Saisissez une requête quelconque dans la barre de recherche.

    Requête saisie par le client.

  3. Cliquez sur Rechercher.

    La requête s'exécute et les résultats sont affichés dans un tableau.

    • Le tableau peut afficher un maximum de 1 000 résultats.
    • Les données sont conservées pendant 90 jours (ou 1 an si vous disposez d'une licence complémentaire Central Data 1-Year Storage Pack).

Si vous souhaitez réutiliser cette même requête à l'avenir, enregistrez-la. Vous pouvez ensuite l'exécuter plus tard sur la page Recherche IA ou dans Live Discover. Voir Enregistrer une requête.

Pour afficher la syntaxe SQL de votre requête, développez la section Requête générée.

Détails de requête SQL générés.

Définissez une plage horaire

Par défaut, les requêtes ont une plage horaire de 24 heures.

Pour modifier la plage horaire ajoutez la plage horaire souhaitée, par exemple « au cours des 7 derniers jours », dans la requête affichée dans la barre de recherche.

Vous pouvez soit ajouter votre plage horaire à une requête suggérée, soit l'inclure dans le libellé de votre propre requête.

Enregistrer une requête

Vous pouvez enregistrer votre requête afin de la réutiliser. Enregistrez-la de l'une des manières suivantes :

  • Copiez la requête dans votre presse-papiers. Développez la section Requête générée et cliquez sur l'icône Copier Icône Copier. à droite de la page.

  • Cliquez sur Enregistrer la requête. Ceci enregistre la requête dans une nouvelle catégorie intitulée Recherche IA dans Live Discover, où vous pourrez l'exécuter plus tard. Voir Live Discover.

  • Cliquez sur Exporter. Cette opération exporte la syntaxe SQL de la requête et les résultats de la recherche au format CSV. Le fichier CSV est téléchargé automatiquement dans votre dossier de téléchargements par défaut.

Résultats de la recherche

Les résultats de la recherche s’affichent dans le tableau en bas de page.

Résultats de la recherche.

Plus d’info

Vous pouvez obtenir plus de détails sur les détections ou les appareils affichés dans les résultats de la recherche.

Pour afficher plus de détails sur une détection, cliquez sur le lien dans la colonne Règle de détection. Elle affiche les mêmes détails que la page Détections du Centre d'analyse des menaces. Voir Détections.

Pour afficher plus de détails sur un appareil, cliquez sur son nom dans la colonne Nom d'hôte.