Rechercher
La recherche XDR vous permet de trouver des données spécifiques dans Sophos Data Lake.
Vous pouvez rechercher des indicateurs de compromission (IOC) ou d’autres données telles que des adresses IP ou des noms d’utilisateurs.
Créer et exécuter une recherche
Vous pouvez créer des recherches de deux manières différentes :
- Créez une recherche basique à l’aide de notre générateur de recherche. Il s’agit du paramètre par défaut.
- Créez une recherche avancée en utilisant le langage de requête Lucene ou la saisie de texte libre.
Pour obtenir des instructions, sélectionnez l’onglet voulu ci-dessous.
Les recherches de base sont simples à créer.
Vous pouvez créer une recherche de base à l’aide de notre générateur de recherche interactif.
-
Allez dans Centre d’analyse des menaces > Rechercher.
-
Sélectionnez la période de temps des détections que vous souhaitez rechercher.
-
Sélectionner le type de données à rechercher Actuellement, il est uniquement possible de rechercher les données des terminaux.
-
Dans la barre de recherche, cliquez sur l’icône Ajouter pour afficher les champs de recherche les plus couramment utilisés.
-
Dans la boîte de dialogue Fréquemment utilisé, cliquez sur le champ voulu.
-
Dans le Générateur de recherche, utilisez le menu déroulant pour ajouter un opérateur tel que
IS
ouINCLUDES
et saisissez une valeur.Par exemple :
Device IP IS 148.139.13.160
-
Vous pouvez également cliquer sur Ligne pour sélectionner un opérateur (
AND
,OR
ouNOT
) et ajouter un autre champ. Cliquez ensuite sur Ajouter.Par exemple :
hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP
-
Vous pouvez également sélectionner les champs de données à afficher dans vos résultats. Cliquez sur Colonnes et sélectionnez les champs voulus.
-
Cliquez sur Rechercher. Les résultats s’affichent dans le volet inférieur.
-
Pour afficher tous les détails d’une détection, cliquez sur la flèche située à côté de celle-ci.
Actuellement, il n’est pas possible d’enregistrer vos recherches ou de travailler directement sur les détections affichées dans les résultats.
Vous pouvez créer une recherche avancée en utilisant le langage de requête Lucene ou en saisissant votre propre texte.
Pour créer une recherche avancée, procédez de la manière suivante :
-
Cliquez sur Passer à la demande avancée.
-
Dans la barre de recherche, saisissez les champs de données et les paramètres ou le texte libre comme décrit dans les sections ci-dessous.
- Cliquez sur Rechercher. Les résultats s’affichent dans le volet inférieur.
Utiliser les champs de données et paramètres
Saisissez le champ de données suivi de deux points (:), puis du paramètre de recherche. Retrouvez plus de renseignements sur les champs de données sur Champs de données pour la recherche.
Il est possible de créer des recherches comportant plusieurs champs de données. Voici quelques exemples :
process_name:lsass AND username:admin OR username:system
sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"
Retrouvez plus d’aide sur le tutoriel Lucene.
Utiliser la saisie de texte libre
Saisissez une chaîne de texte pour rechercher les détections qui incluent le texte saisi. Pour les chaînes telles que les adresses MAC ou IP, qui comprennent des caractères spéciaux, utilisez des guillemets dans vos recherches en texte libre.
Voici quelques exemples :
0a43ff3773e7fcbb9a98029957c41bc3af56ae94
jdoe
"00:00:5e:00:53:af"
Configurer la liste des résultats
Vous pouvez accepter les colonnes par défaut affichées dans les résultats ou les modifier et les réorganiser.
Colonnes par défaut
Les colonnes suivantes sont affichées par défaut dans les résultats.
Colonne | Détails |
---|---|
fois | - |
catégorie | Par exemple, « réseau » |
activity_type | Par exemple, « prises ouvertes » |
nom d’hôte | - |
nom d’utilisateur | Ne s’affiche pas si aucun utilisateur n’est connecté, par exemple sur un serveur |
appareil_IP | - |
Ajouter ou supprimer des colonnes
Vous pouvez modifier et réorganiser les colonnes de données affichées dans les résultats. Pour modifier les colonnes à afficher, cliquez sur Colonnes et sélectionnez les colonnes de votre choix.
Réorganiser les colonnes
Pour modifier l’ordre des colonnes dans le tableau de résultats, procédez comme suit :