Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=global-search

Recherche

Veuillez rejoindre le programme d’accès anticipé (EAP) pour utiliser cette fonction.

Vous pouvez trouver des données spécifiques concernant vos terminaux dans Sophos Data Lake.

Vous pouvez rechercher des indicateurs de compromission (IOC) ou d’autres données telles que des adresses IP ou des noms d’utilisateurs.

La recherche est faite au moyen du langage de requête Lucene. Retrouvez plus d’aide sur le tutoriel Lucene.

La page Rechercher

Allez dans Centre d’analyse des menaces > Rechercher.

Le volet de droite vous permet de créer et d’exécuter votre recherche, et affiche une liste de résultats correspondants.

Le volet de gauche Schéma affiche les champs de données que vous pouvez utiliser dans votre recherche. Celui-ci vous permet également d’ajouter, de supprimer ou de réorganiser les colonnes correspondantes dans les résultats.

Page de recherche dans le Centre d’analyse des menaces

Créer et exécuter une recherche

Pour créer et lancer une recherche, procédez de la manière suivante :

  1. Allez dans Centre d’analyse des menaces > Rechercher.
  2. Sélectionnez la période de temps des détections que vous souhaitez rechercher.

  3. Saisissez votre recherche dans la barre de recherche où vous voyez « Tapez @ pour la saisie automatique ».

    1. Saisissez @ et commencez à saisir le nom du champ de données à inclure dans votre recherche. Vous verrez s’afficher une liste des champs correspondants.

    2. Saisissez un champ de données suivi de deux points (:), puis du paramètre de recherche. Il est possible d’inclure plusieurs champs de données. Voici quelques exemples :

      hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP

      command_line:mimikatz

    Vous pouvez également utiliser la saisie de texte libre pour saisir vos propres chaînes de recherche. Retrouvez plus de renseignements sur Comment créer des recherches.

    La barre de recherche

  4. Dans le volet de gauche, vous pouvez également sélectionner les champs de données à afficher dans vos résultats. Sélectionnez les champs voulus dans Colonnes disponibles pour les ajouter aux Colonnes visibles que vous souhaitez afficher dans les résultats.

    Retrouvez plus de renseignements sur Ajouter, supprimer ou réorganiser les colonnes.

    Liste des champs de données

  5. Cliquez sur Rechercher. Les résultats s’affichent dans le volet inférieur.

    Résultats de la recherche

  6. Pour afficher tous les détails d’une détection, cliquez sur la flèche située à côté de celle-ci. Les détails sont actuellement affichés dans un tableau JSON.

    Détails de détection

Actuellement, vous ne pouvez pas enregistrer vos recherches.

Il n’est pas possible d’intervenir sur les détections. Dans les versions ultérieures, vous pourrez sélectionner des détections et les ajouter aux investigations du Centre d’analyse des menaces.

Comment créer des recherches

Créez une recherche à partir de nos champs de données ou saisissez votre propre texte.

Champs de données et paramètres

Saisissez le champ de données (parmi les champs affichés dans le volet de gauche) suivi de deux points (:), puis du paramètre de recherche voulu.

Il est possible de créer des recherches comportant plusieurs champs de données. Voici quelques exemples :

process_name:lsass AND username:admin OR username:system

event_id:4100 OR event_id:4013 OR event_id:4104 NOT username:"help desk"

sha1:0a43ff3773e7fcbb9a98029957c41bc3af56ae94 AND dest_ip:"1.2.3.4"

hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP

command_line:mimikatz

run_as_username:system OR run_as_username:admin

Saisie de texte libre

Saisissez une chaîne de texte pour rechercher les détections qui incluent le texte saisi. Pour les chaînes telles que les adresses MAC ou IP, qui comprennent des caractères spéciaux, utilisez des guillemets dans vos recherches en texte libre.

Voici quelques exemples :

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

Filtrer les résultats

Pour voir uniquement les résultats qui vous intéressent le plus, procédez de la manière suivante :

  1. Cliquez sur Ajouter un filtre.

    Ajouter une option de filtre

  2. Dans Filtre rapide, saisissez une expression qui filtre les résultats.

    Boîte de dialogue Filtre rapide

Modifier les colonnes dans les résultats

Vous pouvez accepter les colonnes par défaut dans les résultats ou les modifier et les réorganiser.

Colonnes par défaut

Les colonnes suivantes sont affichées par défaut dans les résultats.

Colonne Détails
fois -
catégorie Par exemple, « réseau »
type_activité Par exemple, « prises ouvertes »
nom d’hôte -
nom d’utilisateur Ne s’affiche pas si aucun utilisateur n’est connecté, par exemple sur un serveur
appareil_IP -
appareil_mac L’adresse MAC
type_appareil Par exemple, client ou serveur
marque_appareil Par exemple, Windows ou macOS

Ajouter, supprimer ou réorganiser les colonnes

Vous pouvez modifier et réorganiser les colonnes de données affichées dans les résultats.

Sélecteur de colonnes

Dans le volet de gauche, le segment Colonnes visibles répertorie les colonnes inclues actuellement dans les résultats. Colonnes disponibles affiche les colonnes qu’il est possible de sélectionner en supplément.

Pour supprimer une colonne, cliquez sur le signe « moins » situé à côté de son nom dans Colonnes visibles.

Pour ajouter une colonne, cliquez sur son nom dans Colonnes disponibles. La colonne est ajoutée à la liste des Colonnes visibles et s’affiche comme la dernière colonne du tableau de résultats.

Pour rechercher les colonnes que vous souhaitez ajouter, saisissez leur nom dans les Champs de recherche.

Pour modifier l’ordre des colonnes dans le tableau de résultats, faites glisser leurs noms dans l’ordre souhaité dans Colonnes visibles.