跳至內容
部分或全部頁面已經過機器翻譯。

AI 搜尋

您必須加入「新 AI 功能搶先試用計畫」才能使用此功能。

AI 搜尋幫助您在 Sophos Data Lake 資料湖中搜尋資料,無需撰寫 SQL 查詢。

AI搜尋可以在Data Lake中查找檢測和端點數據。您可以搜尋入侵指標 (IOC) 或其他資料,例如 IP 位址或使用者名稱。

AI 搜尋會根據您輸入的自然語言問題,建議可以執行的查詢或為您建立查詢。您無需撰寫 SQL 查詢。

執行查詢

您可以使用我們建議的查詢,或是見利您自己的查詢。

使用建議的查詢

若要執行查詢,請依照以下步驟進行:

  1. 前往 威脅分析中心 > AI 搜尋
  2. 在頁面左側的菜單中,選擇要搜尋的數據:

    • 偵測 可讓您查詢威脅偵測中的資料。
    • Endpoint Data 可讓您查詢裝置及其活動的相關資料。

    搜尋類型的下拉菜單。

  3. 如果這是您在登入 Sophos Central 後第一次打開 AI 搜尋,您會在搜尋欄下方看到建議的查詢。

    這些建議是從我們的預先配置查詢清單中隨機選擇的。

    每次您打開 AI 搜尋頁面時,看到的建議查詢都會不同。若要查看更多資訊,請重新整理頁面。

    建議的查詢。

  4. 按一下某查詢。

    當查詢顯示在搜尋欄中時,您可以根據需要進行修改。例如,您可以在查詢的末尾輸入像是「過去 30 天」的時間範圍。

  5. 按一下 搜尋

    查詢執行後,結果將顯示在表格中:

    • 該表格最多可顯示 1,000 筆結果。
    • 資料會保留 90 天 (如果您擁有 Central Data 1 年儲存套件 附加授權,則為 1 年)。

建立查詢

若要建立您自己的查詢,請按照以下步驟操作:

  1. 前往 威脅分析中心 > AI 搜尋
  2. 在頁面左側的菜單中,選擇要搜尋的數據:

    • 偵測 可讓您查詢威脅偵測中的資料。
    • Endpoint Data 可讓您查詢裝置及其活動的相關資料。

    搜尋類型的下拉菜單。

  3. 在搜尋欄中以您自己的語言輸入查詢。

    客戶輸入的查詢。

  4. 按一下 搜尋

    查詢執行後,結果將顯示在表格中。

    • 該表格最多可顯示 1,000 筆結果。
    • 資料會保留 90 天 (如果您擁有 Central Data 1 年儲存套件 附加授權,則為 1 年)。

如果您想將來再次使用此查詢,請儲存它。然後,您可以稍後在 AI 搜尋 頁面或 Live Discover 中執行它。請參閱 儲存查詢

若要查看查詢的 SQL 語法,請展開 產生查詢 區段。

產生的查詢 SQL 詳細資訊。

設定時間範圍

預設情況下,查詢的時間範圍為 24 小時。

若要更改時間範圍,請在搜尋欄中的查詢中包含您想要的時間範圍,例如「過去 7 天」。

您可以將時間範圍新增到建議的查詢中,或將其包含在您自己查詢的文字中。

時間範圍建議

端點監控可以生成大量數據。因此,跨越廣泛時間範圍的查詢會顯著影響性能。為獲得最佳效果,請執行以下操作:

  • 窄距開始:從所需的最短時間範圍開始。這可以是幾個小時或最多一天。
  • 逐步擴展:只有在找不到所需內容時才增加時間範圍。
  • 請具體說明:盡可能在自然語言查詢中包括精確的時間限制。範例:最近 4 小時否則將應用預設值。
  • 注意慢速查詢或超時:跨越數天或數周的查詢可能會超時或經歷極端延遲,具體取決於數據量。

儲存查詢

您可以儲存查詢,以便將來重複使用。請以以下其中一種方式儲存查詢:

  • 將查詢複製到剪貼簿。展開 產生查詢 區段,然後按一下頁面右側的複製圖示 複製圖示。

  • 按一下 儲存查詢。這會將查詢儲存到 Live Discover 中名為 AI 搜尋 的新類別,您可以稍後執行它。請參閱 Live Discover

  • 按一下 匯出。這會將查詢的 SQL 語法和查詢結果以 CSV 格式匯出。CSV 檔案會自動下載到您的預設下載資料夾。

查詢結果

您可以在頁面底部的表格中查看查詢結果。

查詢結果。

取得更多詳細資料

您可以獲取查詢結果中顯示的偵測或裝置的更多詳細資訊。

若要查看偵測的更多詳細資訊,請按一下 偵測規則 欄位中的連結。這會顯示與威脅分析中心中的 偵測 頁面相同的詳細資訊。請參閱 偵測

若要查看裝置的更多詳細資訊,請按一下 主機名稱 欄位中的名稱。