Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=ai-search

Recherche IA

Vous devez rejoindre le programme d’accès anticipé des Nouvelles fonctions IA pour pouvoir utiliser cette option.

Recherche IA vous aide à rechercher des données dans le Sophos Data Lake sans écrire de requêtes SQL.

Cette fonction permet de trouver des détections et des données concernant les endpoints dans le Data Lake. Vous pouvez rechercher des indicateurs de compromission (IOC) ou d’autres données telles que des adresses IP, des noms d’utilisateurs des fichiers ou des activités de postes.

Recherche IA offre des suggestions de requêtes à exécuter, ou crée des requêtes pour vous en fonction des questions en langage naturel que vous saisissez. Vous n'avez pas besoin d'écrire des requêtes SQL.

Exécuter les demandes

Vous pouvez soit utiliser des requêtes préconfigurées, soit créer des requêtes sur mesure.

Utiliser une requête préconfigurée

Pour utiliser l’une des requêtes suggérées, procédez de la manière suivante :

  1. Allez dans Centre d’analyse des menaces > Recherche IA.

  2. Dans le menu de gauche de la page, sélectionnez le type de données à rechercher :

    • Détections vous permet de rechercher des données présentes dans les détections de menaces.
    • Données Endpoint vous permet de rechercher des données relatives à vos appareils et à leur activité.

    Menu déroulant des types de recherche.

  3. Si c'est la première fois que vous ouvrez Recherche IA après vous être connecté à Sophos Central, vous verrez des suggestions de requêtes sous la barre de recherche.

    Les suggestions sont sélectionnées aléatoirement dans notre liste de requêtes préconfigurées.

    Différentes requêtes s’affichent à chaque fois que vous ouvrez la page Recherche IA. Pour en afficher d’autres, actualisez la page.

    Requêtes préconfigurées.

  4. Cliquez sur une requête.

    Lorsque la requête s'affiche dans la barre de recherche, vous pouvez la modifier si vous le souhaitez. Par exemple, vous pourriez ajouter une plage horaire comme « au cours des 30 derniers jours » à la fin de la requête.

  5. Cliquez sur Rechercher.

    La requête s'exécute et les résultats sont affichés dans un tableau :

    • Le tableau peut afficher un maximum de 1 000 résultats.
    • Les données sont conservées pendant 90 jours (ou 1 an si vous disposez d'une licence complémentaire Central Data 1-Year Storage Pack).

Création d’une requête

Pour créer la nouvelle appliance, procédez de la manière suivante :

  1. Allez dans Centre d’analyse des menaces > Recherche IA.

  2. Dans le menu de gauche de la page, sélectionnez le type de données à rechercher :

    • Détections vous permet de rechercher des données présentes dans les détections de menaces.
    • Données Endpoint vous permet de rechercher des données relatives à vos appareils et à leur activité.

    Menu déroulant des types de recherche.

  3. Saisissez une requête quelconque dans la barre de recherche.

    Requête saisie par le client.

  4. Cliquez sur Rechercher.

    La requête s'exécute et les résultats sont affichés dans un tableau.

    • Le tableau peut afficher un maximum de 1 000 résultats.
    • Les données sont conservées pendant 90 jours (ou 1 an si vous disposez d'une licence complémentaire Central Data 1-Year Storage Pack).

Si vous souhaitez réutiliser cette même requête à l'avenir, enregistrez-la. Vous pouvez ensuite l'exécuter plus tard sur la page Recherche IA ou dans Live Discover. Voir Enregistrer une requête.

Pour afficher la syntaxe SQL de votre requête, développez la section Requête générée.

Détails de requête SQL générés.

Définissez une plage horaire

Par défaut, les requêtes ont une plage horaire de 24 heures.

Pour modifier la plage horaire ajoutez la plage horaire souhaitée, par exemple « au cours des 7 derniers jours », dans la requête affichée dans la barre de recherche.

Vous pouvez soit ajouter votre plage horaire à une requête suggérée, soit l'inclure dans le libellé de votre propre requête.

Intervalle de temps recommandés

La surveillance des endpoints peut générer d’importants volumes de données. Par conséquent, les requêtes couvrant de larges intervalles de temps peuvent avoir un impact significatif sur les performances. Pour de meilleurs résultats, procédez comme suit :

  • Commencez par un intervalle restreint : Commencez par la plage de temps la plus courte possible. Il peut s’agir de quelques heures ou tout au plus d’une seule journée.
  • Élargissez progressivement : Augmentez uniquement la plage de temps si vous ne trouvez pas ce dont vous avez besoin.
  • Soyez précis : Incluez des contraintes de temps précises dans votre requête en langage naturel dans la mesure du possible. Exemple : « Les 4 dernières heures » Dans le cas contraire, les valeurs par défaut s’appliqueront.
  • Faites attention aux demandes lentes ou aux délais d’attente : Les demandes qui s’étendent sur plusieurs jours ou semaines peuvent entraîner des délais importants ou même des échecs, en fonction de la quantité de données impliquées.

Enregistrer une requête

Vous pouvez enregistrer votre requête afin de la réutiliser. Enregistrez-la de l'une des manières suivantes :

  • Copiez la requête dans votre presse-papiers. Développez la section Requête générée et cliquez sur l'icône Copier Icône Copier. à droite de la page.

  • Cliquez sur Enregistrer la requête. Ceci enregistre la requête dans une nouvelle catégorie intitulée Recherche IA dans Live Discover, où vous pourrez l'exécuter plus tard. Voir Live Discover.

  • Cliquez sur Exporter. Cette opération exporte la syntaxe SQL de la requête et les résultats de la recherche au format CSV. Le fichier CSV est téléchargé automatiquement dans votre dossier de téléchargements par défaut.

Résultats de la recherche

Les résultats de la recherche s’affichent dans le tableau en bas de page.

Résultats de la recherche.

Plus d’info

Vous pouvez obtenir plus de détails sur les détections ou les appareils affichés dans les résultats de la recherche.

Pour afficher plus de détails sur une détection, cliquez sur le lien dans la colonne Règle de détection. Elle affiche les mêmes détails que la page Détections du Centre d'analyse des menaces. Voir Détections.

Pour afficher plus de détails sur un appareil, cliquez sur son nom dans la colonne Nom d'hôte.