Vai al contenuto

Cerca

La ricerca di XDR consente di trovare dati specifici nel Sophos Data Lake.

È possibile cercare Indicatori di compromissione (IOC) o altri dati, ad esempio indirizzi IP o nomi utente.

Creazione ed esecuzione di una ricerca

È possibile creare ricerche in due modi diversi:

  • Creando una ricerca di base utilizzando il nostro generatore di ricerche. Questa è l’impostazione predefinita.
  • Creando una ricerca avanzata utilizzando il linguaggio di query Lucene o l’immissione di testo libero.

Per le istruzioni, selezionare la scheda appropriata qui di seguito.

Le ricerche di base sono semplici da creare.

Una ricerca di base può essere creata utilizzando il nostro generatore di ricerche interattivo.

  1. Selezionare Centro di analisi delle minacce > Cerca.

    Pagina Cerca.

  2. Selezionare un intervallo di tempo per i rilevamenti nel quale si desidera effettuare una ricerca.

    Ricerca per intervallo di tempo.

  3. Selezionare il tipo di dati da cercare. Attualmente, è possibile cercare solo Dati endpoint.

    Ricerca di dati.

  4. Nella barra di ricerca, cliccare sull’icona Aggiungi per visualizzare i campi di ricerca utilizzati più frequentemente.

    Icona Aggiungi.

  5. Nella finestra di dialogo Più usati, cliccare su un campo.

    Campi più usati.

  6. In Generatore di ricerche, utilizzare il menu a discesa per aggiungere un operatore come IS o INCLUDES e immettere un valore.

    È ad esempio possibile: Device IP IS 148.139.13.160

    Generatore di ricerche.

  7. Facoltativamente, cliccare su Riga per selezionare un operatore (AND, OR o NOT) e aggiungere un altro campo. Cliccare quindi su Aggiungi.

    È ad esempio possibile: hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP

  8. Facoltativamente, selezionare i campi dati che si desidera visualizzare tra i risultati. Cliccare su Colonne e selezionare i campi desiderati.

    Selezione delle colonne per la ricerca.

  9. Cliccare su Cerca. I risultati saranno visibili nel riquadro inferiore.

    Risultati della ricerca.

  10. Per visualizzare i dettagli completi di un rilevamento, cliccare sulla freccia accanto al rilevamento desiderato.

Al momento non è possibile salvare le ricerche o intraprendere azioni sui rilevamenti dai risultati.

È possibile creare una ricerca avanzata utilizzando il linguaggio di query Lucene o immettendo un testo personalizzato.

Per creare una ricerca avanzata, procedere come segue:

  1. Cliccare su Passa alle query avanzate.

    Passa alle query avanzate.

  2. Nella barra di ricerca, immettere i campi dati più i parametri o il testo libero, come descritto nelle sezioni che seguono.

  3. Cliccare su Cerca. I risultati saranno visibili nel riquadro inferiore.

Uso di campi dati più parametri

Immettere il campo dati, seguito dal carattere due punti e successivamente dal parametro di ricerca. Per informazioni complete sui campi dati che possono essere utilizzati, vedere Campi dati nella ricerca.

Si possono creare ricerche con più campi dati. Ecco alcuni esempi:

process_name:lsass AND username:admin OR username:system

sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"

Per assistenza, vedere il Tutorial di Lucene.

Uso dell’immissione di testo libero

Immettere una stringa di testo per trovare i rilevamenti che includono il testo specificato. Per stringhe come indirizzi MAC o indirizzi IP, che includono caratteri speciali, utilizzare le virgolette nelle ricerche a testo libero.

Ecco alcuni esempi:

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

Configurazione dell’elenco dei risultati

È possibile accettare le colonne predefinite visualizzate nei risultati, oppure modificarle e cambiarne l’ordine.

Colonne predefinite

Per impostazione predefinita, nei risultati vengono mostrate le seguenti colonne.

Colonne Dettagli
tempo -
categoria Ad esempio, "rete"
activity_type Ad esempio, "socket aperti"
nome host -
nome utente Non viene visualizzato se nessun utente ha effettuato l’accesso, ad esempio su un server
device_IP -

Aggiunta/Rimozione di colonne

Le colonne di dati che vengono restituite nei risultati possono essere modificate e visualizzate in un ordine diverso. Per modificare le colonne visualizzate, cliccare su Colonne e selezionare le colonne desiderate.

Seleziona colonne.

Riordinamento delle colonne

Per modificare l’ordine delle colonne nella tabella dei risultati, procedere come segue:

  1. Cliccare sull’intestazione di una colonna e trascinarla nella posizione desiderata.

    Spostamento di una colonna.

  2. Quando vengono visualizzate frecce sopra e sotto l’intestazione della tabella, è possibile rilasciare l’intestazione della colonna in quella posizione.

    Inserimento di una colonna.