AI 搜尋
您必須加入「新 AI 功能搶先試用計畫」才能使用此功能。
AI 搜尋幫助您在 Sophos Data Lake 資料湖中搜尋資料,無需撰寫 SQL 查詢。
AI搜尋可以在Data Lake中查找檢測和端點數據。您可以搜尋入侵指標 (IOC) 或其他資料,例如 IP 位址或使用者名稱。
AI 搜尋會根據您輸入的自然語言問題,建議可以執行的查詢或為您建立查詢。您無需撰寫 SQL 查詢。
執行查詢
您可以使用我們建議的查詢,或是見利您自己的查詢。
使用建議的查詢
若要執行查詢,請依照以下步驟進行:
- 前往 威脅分析中心 > AI 搜尋。
-
在頁面左側的菜單中,選擇要搜尋的數據:
- 偵測 可讓您查詢威脅偵測中的資料。
- Endpoint Data 可讓您查詢裝置及其活動的相關資料。
-
如果這是您在登入 Sophos Central 後第一次打開 AI 搜尋,您會在搜尋欄下方看到建議的查詢。
這些建議是從我們的預先配置查詢清單中隨機選擇的。
每次您打開 AI 搜尋頁面時,看到的建議查詢都會不同。若要查看更多資訊,請重新整理頁面。
-
按一下某查詢。
當查詢顯示在搜尋欄中時,您可以根據需要進行修改。例如,您可以在查詢的末尾輸入像是「過去 30 天」的時間範圍。
-
按一下 搜尋。
查詢執行後,結果將顯示在表格中:
- 該表格最多可顯示 1,000 筆結果。
- 資料會保留 90 天 (如果您擁有 Central Data 1 年儲存套件 附加授權,則為 1 年)。
建立查詢
若要建立您自己的查詢,請按照以下步驟操作:
- 前往 威脅分析中心 > AI 搜尋。
-
在頁面左側的菜單中,選擇要搜尋的數據:
- 偵測 可讓您查詢威脅偵測中的資料。
- Endpoint Data 可讓您查詢裝置及其活動的相關資料。
-
在搜尋欄中以您自己的語言輸入查詢。
-
按一下 搜尋。
查詢執行後,結果將顯示在表格中。
- 該表格最多可顯示 1,000 筆結果。
- 資料會保留 90 天 (如果您擁有 Central Data 1 年儲存套件 附加授權,則為 1 年)。
如果您想將來再次使用此查詢,請儲存它。然後,您可以稍後在 AI 搜尋 頁面或 Live Discover 中執行它。請參閱 儲存查詢。
若要查看查詢的 SQL 語法,請展開 產生查詢 區段。
設定時間範圍
預設情況下,查詢的時間範圍為 24 小時。
若要更改時間範圍,請在搜尋欄中的查詢中包含您想要的時間範圍,例如「過去 7 天」。
您可以將時間範圍新增到建議的查詢中,或將其包含在您自己查詢的文字中。
時間範圍建議
端點監控可以生成大量數據。因此,跨越廣泛時間範圍的查詢會顯著影響性能。為獲得最佳效果,請執行以下操作:
- 窄距開始:從所需的最短時間範圍開始。這可以是幾個小時或最多一天。
- 逐步擴展:只有在找不到所需內容時才增加時間範圍。
- 請具體說明:盡可能在自然語言查詢中包括精確的時間限制。範例:最近 4 小時否則將應用預設值。
- 注意慢速查詢或超時:跨越數天或數周的查詢可能會超時或經歷極端延遲,具體取決於數據量。
儲存查詢
您可以儲存查詢,以便將來重複使用。請以以下其中一種方式儲存查詢:
-
將查詢複製到剪貼簿。展開 產生查詢 區段,然後按一下頁面右側的複製圖示
。
-
按一下 儲存查詢。這會將查詢儲存到 Live Discover 中名為 AI 搜尋 的新類別,您可以稍後執行它。請參閱 Live Discover。
-
按一下 匯出。這會將查詢的 SQL 語法和查詢結果以 CSV 格式匯出。CSV 檔案會自動下載到您的預設下載資料夾。
查詢結果
您可以在頁面底部的表格中查看查詢結果。
取得更多詳細資料
您可以獲取查詢結果中顯示的偵測或裝置的更多詳細資訊。
若要查看偵測的更多詳細資訊,請按一下 偵測規則 欄位中的連結。這會顯示與威脅分析中心中的 偵測 頁面相同的詳細資訊。請參閱 偵測。
若要查看裝置的更多詳細資訊,請按一下 主機名稱 欄位中的名稱。