AI 搜尋
您必須加入新的AI功能先期訪問計劃才能使用此功能。
AI搜尋可幫助您搜尋在Sophos Data Lake中查找數據,而無需編寫SQL查詢。
目前,AI搜尋只能在Data Lake中的檢測中查找數據。您可以搜尋入侵指標 (IOC) 或其他資料,例如 IP 位址或使用者名稱。
AI搜尋會根據您輸入的自然語言問題建議您可以執行的查詢,或為您構建查詢。您不需要編寫SQL查詢。
注意
您仍然可以使用我們原來的搜尋功能。這會查詢端點數據,即來自設備的最新數據,而不是來自Data Lake的數據。
執行查詢
您可以使用我們建議的查詢,也可以創建您自己的查詢。
使用建議的查詢
若要執行查詢,請執行以下操作:
- 移至威脅分析中心 > AI 搜尋。
-
如果這是您在登入Sophos Central後首次打開AI搜尋,您會在搜尋欄下看到建議的查詢。
建議是從我們的預配置查詢列表中隨機選擇的。
每次打開AI搜尋(AI查詢)頁面時,您都會看到不同的建議查詢。要查看更多資訊,請刷新頁面。
-
單擊查詢。
當查詢顯示在搜尋欄中時,您可以根據需要對其進行修改。例如,您可以在查詢結尾鍵入一個時間範圍,例如“在過去30天”。
-
单击搜索。
查詢會執行,結果會顯示在表格中:
- 該表最多可顯示1,000個結果。
- 數據將保留90天(如果您有 中央數據1年存儲包 附加許可證,則保留1年)。
建立查詢
若要建立 Azure 應用程式,請執行以下操作:
- 移至威脅分析中心 > AI 搜尋。
-
在搜尋(查詢)欄中以您自己的單詞輸入查詢。
-
单击搜索。
查詢會執行,結果會顯示在表格中。
- 該表最多可顯示1,000個結果。
- 數據將保留90天(如果您有 中央數據1年存儲包 附加許可證,則保留1年)。
如果以後要再次使用該查詢,請保存它。然後,您可以在 AI搜尋 (AI配置)頁面或 Live Discover(實時發現)中運行它。請參閱 保存查詢。
要查看查詢的SQL語法,請展開“ 生成的查詢 ”部分。
設定時間範圍
預設情況下,查詢的時間範圍為24小時。
要更改時間範圍,請在搜尋欄的查詢中包括所需的時間範圍,例如"過去7天"。
您可以將時間範圍添加到建議的查詢中,也可以將其包含在您自己查詢的措辭中。
保存查詢
您可以保存查詢以便重複使用。以下列其中一種方式儲存查詢:
-
將查詢復制到剪跕板。展開 生成的查詢 部分,然後單擊 頁面右側的復制圖標。
-
單擊 保存查詢。這會將查詢保存到名為"Live Discover"( 實時發現)中的AI搜尋(AI種類)中,稍後您可以在此處執行查詢。請參閱Live Discover。
-
點選 匯出。這將以CSV格式導出查詢的SQL語法和查詢結果。CSV文件將自動下載到預設下載文件夾。
查詢結果
您可以在頁面底部的表格中看到查詢結果。
取得更多詳細資料
您可以獲得查詢結果中顯示的檢測或設備的更多詳細資訊。
要查看檢測的更多詳細資訊,請單擊 檢測規則 列中的鍊接。這會顯示與 **** 威脅分析中心的偵測頁面相同的詳細資料。請參閱 偵測。
要查看設備的更多詳細資訊,請在 主機名 列中單擊其名稱。