Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=global-search

Rechercher

La recherche XDR vous permet de trouver des données spécifiques dans Sophos Data Lake.

Vous pouvez rechercher des indicateurs de compromission (IOC) ou d’autres données telles que des adresses IP ou des noms d’utilisateurs.

Créer et exécuter une recherche

Vous pouvez créer des recherches de deux manières différentes :

  • Créez une recherche basique à l’aide de notre générateur de recherche. Il s’agit du paramètre par défaut.
  • Créez une recherche avancée en utilisant le langage de requête Lucene ou la saisie de texte libre.

Pour obtenir des instructions, sélectionnez l’onglet voulu ci-dessous.

Les recherches de base sont simples à créer.

Vous pouvez créer une recherche de base à l’aide de notre générateur de recherche interactif.

  1. Allez dans Centre d’analyse des menaces > Rechercher.

    La page Rechercher.

  2. Sélectionnez la période de temps des détections que vous souhaitez rechercher.

    Plage de temps à rechercher.

  3. Sélectionner le type de données à rechercher Actuellement, il est uniquement possible de rechercher les données des terminaux.

    Plage de données à rechercher.

  4. Dans la barre de recherche, cliquez sur l’icône Ajouter pour afficher les champs de recherche les plus couramment utilisés.

    Ajouter une icône.

  5. Dans la boîte de dialogue Fréquemment utilisé, cliquez sur le champ voulu.

    Champs fréquemment utilisés.

  6. Dans le Générateur de recherche, utilisez le menu déroulant pour ajouter un opérateur tel que IS ou INCLUDESet saisissez une valeur.

    Par exemple : Device IP IS 148.139.13.160

    Générateur de recherche.

  7. Vous pouvez également cliquer sur Ligne pour sélectionner un opérateur (AND, ORou NOT) et ajouter un autre champ. Cliquez ensuite sur Ajouter.

    Par exemple : hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP

  8. Vous pouvez également sélectionner les champs de données à afficher dans vos résultats. Cliquez sur Colonnes et sélectionnez les champs voulus.

    Sélecteur de colonnes à rechercher.

  9. Cliquez sur Rechercher. Les résultats s’affichent dans le volet inférieur.

    Résultats de la recherche.

  10. Pour afficher tous les détails d’une détection, cliquez sur la flèche située à côté de celle-ci.

Actuellement, il n’est pas possible d’enregistrer vos recherches ou de travailler directement sur les détections affichées dans les résultats.

Vous pouvez créer une recherche avancée en utilisant le langage de requête Lucene ou en saisissant votre propre texte.

Pour créer une recherche avancée, procédez de la manière suivante :

  1. Cliquez sur Passer à la demande avancée.

    Passer à la demande avancée.

  2. Dans la barre de recherche, saisissez les champs de données et les paramètres ou le texte libre comme décrit dans les sections ci-dessous.

  3. Cliquez sur Rechercher. Les résultats s’affichent dans le volet inférieur.

Utiliser les champs de données et paramètres

Saisissez le champ de données suivi de deux points (:), puis du paramètre de recherche. Retrouvez plus de renseignements sur les champs de données sur Champs de données pour la recherche.

Il est possible de créer des recherches comportant plusieurs champs de données. Voici quelques exemples :

process_name:lsass AND username:admin OR username:system

sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"

Retrouvez plus d’aide sur le tutoriel Lucene.

Utiliser la saisie de texte libre

Saisissez une chaîne de texte pour rechercher les détections qui incluent le texte saisi. Pour les chaînes telles que les adresses MAC ou IP, qui comprennent des caractères spéciaux, utilisez des guillemets dans vos recherches en texte libre.

Voici quelques exemples :

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

Configurer la liste des résultats

Vous pouvez accepter les colonnes par défaut affichées dans les résultats ou les modifier et les réorganiser.

Colonnes par défaut

Les colonnes suivantes sont affichées par défaut dans les résultats.

Colonne Détails
fois -
catégorie Par exemple, « réseau »
activity_type Par exemple, « prises ouvertes »
nom d’hôte -
nom d’utilisateur Ne s’affiche pas si aucun utilisateur n’est connecté, par exemple sur un serveur
appareil_IP -

Ajouter ou supprimer des colonnes

Vous pouvez modifier et réorganiser les colonnes de données affichées dans les résultats. Pour modifier les colonnes à afficher, cliquez sur Colonnes et sélectionnez les colonnes de votre choix.

Sélectionner les colonnes.

Réorganiser les colonnes

Pour modifier l’ordre des colonnes dans le tableau de résultats, procédez comme suit :

  1. Cliquez sur un en-tête de colonne et faites-le glisser à l’emplacement de votre choix.

    Déplacer la colonne.

  2. Les flèches apparaissant au-dessus et en-dessous de l’en-tête du tableau indiquent qu’il est possible de déplacer l’en-tête de la colonne à cet endroit.

    Insérer une colonne.