AI 검색

모니터 모드를 사용하려면 새로운 Endpoint Protection 기능 Early Access Program에 가입해야 합니다.

AI 검색을 사용하면 SQL 쿼리를 작성하지 않고도 Sophos Data Lake에서 데이터를 검색할 수 있습니다.

AI 검색은 데이터 레이크에서 감지 및 엔드포인트 데이터를 찾을 수 있습니다. 침해 지표(IOC) 또는 IP 주소나 사용자 이름 같은 기타 데이터를 검색할 수 있습니다.

AI 검색은 사용자가 실행할 수 있는 쿼리를 제안하거나 입력한 자연어 질문에 기반하여 쿼리를 작성합니다. SQL 쿼리를 작성할 필요가 없습니다.

쿼리 실행

제안된 쿼리를 사용하거나 직접 만들 수 있습니다.

새 어플라이언스를 생성하려면 다음과 같이 하십시오.

위협 분석 센터 > AI 검색으로 이동합니다.
페이지 왼쪽의 메뉴에서 검색할 데이터를 선택합니다.
- 탐지 기능에서는 위협 탐지를 위한 데이터를 쿼리할 수 있습니다.
- 엔드포인트 데이터에서는 장치와 그에 대한 활동에 대한 정보를 검색할 수 있습니다.
검색 창에 쿼리를 직접 입력합니다.
검색을 클릭합니다.

쿼리가 실행되고 결과가 테이블에 표시됩니다.
- 테이블에는 최대 1,000개의 결과가 표시될 수 있습니다.
- 데이터는 90일(또는 Central Data 1년 스토리지 팩 추가 라이선스가 있는 경우 1년) 동안 보존됩니다.

나중에 쿼리를 다시 사용하려면 저장하십시오. 그런 다음 나중에 AI 검색 페이지 또는 Live Discover에서 실행할 수 있습니다. 쿼리 저장을 참조하십시오.

쿼리의 SQL 구문을 보려면 생성된 쿼리 섹션을 확장합니다.

기본적으로 쿼리의 시간 범위는 24시간입니다.

시간 범위를 변경하려면 검색 창의 쿼리에 원하는 시간 범위(예: "지난 7일 이내")를 포함합니다.

제안된 쿼리에 시간 범위를 추가하거나 쿼리의 단어에 시간 범위를 포함할 수 있습니다.

엔드포인트 모니터링은 대량의 데이터를 생성할 수 있습니다. 따라서 광범위한 시간 범위에 걸쳐 있는 쿼리는 성능에 상당한 영향을 미칠 수 있습니다. 최상의 결과를 얻으려면 다음과 같이 하십시오.

좁게 시작: 필요한 가장 짧은 시간 범위부터 시작합니다. 이 작업은 몇 시간 또는 최대 하루가 될 수 있습니다.
점진적으로 확장: 필요한 것을 찾지 못한 경우에만 시간 범위를 늘리십시오.
구체적으로 설명: 가능한 경우 자연어 쿼리에 정확한 시간 제약 조건을 포함합니다. 예: 지난 4시간 그렇지 않으면 기본값이 적용됩니다.
느린 쿼리나 타임아웃이 발생하는 경우 주의하세요: 며칠 또는 몇 주에 걸친 쿼리는 데이터의 양에 따라 시간 초과되거나 극심한 지연 시간이 발생할 수 있습니다.

다시 사용할 수 있도록 쿼리를 저장할 수 있습니다. 다음 방법 중 하나로 쿼리를 저장합니다.

쿼리를 클립보드에 복사합니다. 생성된 쿼리 섹션을 확장하고 페이지 오른쪽에 있는 복사 아이콘을 클릭합니다.
쿼리 저장을 클릭합니다. 이렇게 하면 쿼리가 **** Live Discover의 AI 검색이라는 새 범주에 저장되며 나중에 실행할 수 있습니다. Live Discover를 참조하십시오.
내보내기를 ****클릭합니다. 그러면 쿼리의 SQL 구문과 쿼리 결과가 CSV 형식으로 내보내집니다. CSV 파일은 기본 다운로드 폴더에 자동으로 다운로드됩니다.

페이지 하단의 테이블에 쿼리 결과가 표시됩니다.

쿼리 결과에 표시되는 감지 또는 장치에 대한 자세한 정보를 얻을 수 있습니다.

감지에 대한 자세한 내용을 보려면 감지 규칙 열에서 링크를 클릭합니다. 여기에는 **** 위협 분석 센터의 감지 페이지와 동일한 세부 정보가 표시됩니다. 감지을 참조하십시오.

장치에 대한 자세한 세부 정보를 보려면 호스트 이름 열에서 해당 이름을 클릭합니다.