Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=ai-search

Pesquisa por IA

Você deve se cadastrar no New AI Features Early Access Program para usar este recurso.

A Pesquisa por IA permite a você pesquisar dados no Sophos Data Lake sem escrever consultas SQL.

A Pesquisa por IA pode encontrar detecções e dados de endpoint no Data Lake. Você pode pesquisar indicadores de comprometimento (IOCs) ou outros dados, como endereços IP, nomes de usuário, arquivos e atividade do endpoint.

A Pesquisa por IA sugere consultas que você pode executar ou constrói consultas para você com base em perguntas em linguagem natural que você inserir. Você não precisa escrever consultas SQL.

Executar consultas

Você pode usar as consultas que sugerimos ou criar suas próprias consultas.

Usar uma consulta sugerida

Para usar uma consulta sugerida, faça o seguinte:

  1. Vá para Centro de Análise de Ameaças > Pesquisa por IA.

  2. No menu à esquerda da página, selecione os dados que deseja pesquisar:

    • Detecções permite consultar dados em detecções de ameaças.
    • Dados de endpoint permite consultar dados sobre os seus dispositivos e as atividades neles.

    Menu suspenso de tipos de pesquisa.

  3. Se esta for a primeira vez que você abre a Pesquisa por IA depois de entrar no Sophos Central, você verá as consultas sugeridas na barra de pesquisa.

    As sugestões são selecionadas aleatoriamente a partir da nossa lista de consultas pré-configuradas.

    Você verá diferentes consultas sugeridas cada vez que abrir a página de Pesquisa por IA. Para ver mais, atualize a página.

    Consultas sugeridas.

  4. Clique em uma consulta.

    Quando a consulta aparecer na barra de pesquisa, você pode modificá-la se quiser. Por exemplo, você pode digitar um intervalo de tempo como "nos últimos 30 dias" no final da consulta.

  5. Clique em Pesquisar.

    A consulta é executada e os resultados são mostrados em uma tabela:

    • A tabela pode mostrar um máximo de 1.000 resultados.
    • Os dados são mantidos por 90 dias (ou 1 ano se você tiver uma licença do complemento Central Data Storage – Pacote de 1 ano).

Criar uma consulta

Para criar a sua própria consulta, faça o seguinte:

  1. Vá para Centro de Análise de Ameaças > Pesquisa por IA.

  2. No menu à esquerda da página, selecione os dados que deseja pesquisar:

    • Detecções permite consultar dados em detecções de ameaças.
    • Dados de endpoint permite consultar dados sobre os seus dispositivos e as atividades neles.

    Menu suspenso de tipos de pesquisa.

  3. Insira uma consulta em suas próprias palavras na barra de pesquisa.

    Consulta inserida pelo cliente.

  4. Clique em Pesquisar.

    A consulta é executada e os resultados são mostrados em uma tabela.

    • A tabela pode mostrar um máximo de 1.000 resultados.
    • Os dados são mantidos por 90 dias (ou 1 ano se você tiver uma licença do complemento Central Data Storage – Pacote de 1 ano).

Se você quiser usar a consulta novamente no futuro, salve-a. Você pode executá-la mais tarde na página Pesquisa por IA ou no Live Discover. Consulte Salvar uma consulta.

Para exibir a sintaxe SQL da sua consulta, expanda a seção Consulta gerada.

Detalhes da consulta SQL gerada.

Definir um intervalo de tempo

Por padrão, as consultas têm um intervalo de tempo de 24 horas.

Para alterar o intervalo de tempo, inclua o intervalo de tempo desejado, por exemplo, "nos últimos 7 dias", na consulta na barra de pesquisa.

Você pode adicionar seu intervalo de tempo a uma consulta sugerida ou incluí-lo no texto de sua própria consulta.

Recomendações de intervalo de tempo

O monitoramento de endpoint pode gerar grandes volumes de dados. Portanto, consultas que abrangem intervalos de tempo amplos podem afetar significativamente o desempenho. Para obter os melhores resultados, siga este procedimento:

  • Comece de modo conciso: Comece com o intervalo de tempo mais curto necessário. Isso pode ser algumas horas ou, no máximo, um dia.
  • Expanda gradualmente: Aumente o intervalo de tempo apenas se você não encontrar o que precisa.
  • Seja específico: Inclua restrições de tempo precisas na sua consulta em linguagem natural sempre que possível. Exemplo: "Nas últimas 4 horas". Do contrário, os padrões serão aplicados.
  • Observe consultas lentas ou limites de tempo: Consultas que abrangem dias ou semanas podem esgotar o tempo limite ou enfrentar uma latência extrema, dependendo do volume de dados.

Salvar uma consulta

Você pode salvar sua consulta e reutilizá-la. Salve a consulta de uma das seguintes maneiras:

  • Copie a consulta para a área de transferência. Expanda a seção Consulta gerada e clique no ícone Copiar Ícone de cópia. à direita da página.

  • Clique em Salvar consulta. Isso salva a consulta em uma nova categoria chamada Pesquisa por IA no Live Discover, onde você pode executá-la mais tarde. Consulte Live Discover.

  • Clique em Exportar. Isso exporta a sintaxe SQL da consulta e os resultados da consulta em formato CSV. O arquivo CSV é baixado automaticamente para a pasta de downloads padrão.

Resultados da consulta

Você vê os resultados da consulta na tabela na parte inferior da página.

Resultados da consulta.

Obter mais detalhes

Você pode obter mais detalhes das detecções ou dispositivos mostrados nos resultados da consulta.

Para ver mais detalhes de uma detecção, clique no link na coluna Regra de detecção. Isso mostra os mesmos detalhes que a página Detecções no Centro de Análise de Ameaças. Consulte Detecções.

Para ver mais detalhes de um dispositivo, clique em seu nome na coluna Nome do host.