樞紐分析查詢
樞紐分析查詢可讓您根據 Live Discover 結果快速執行新的查詢。
樞紐分析查詢可讓您在查詢結果中選取重要資料,並將其作為新查詢的基礎。
您可以在查詢結果表中的單元格旁查找省略符號圖示 ,以此查看樞紐分析查詢的可用位置。
以下是一個範例:
-
您可以執行查詢來查找 Sophos PID 和所有執行處理序的信譽。
Sophos PID 是唯一的進程 ID。
在結果中,您會看到可疑的進程。
-
若要查看正在執行該進程的其他位置,您需要查找可作為新查詢基礎的辨識資料。
- 在 SHA-256 欄中,您會看到省略號圖示 ,按一下該圖示。
-
在樞紐分析功能表中,會列出可用的樞紐分析查詢。您可以按一下 SHA-256 的處理序活動 (Data Lake)。
進行樞紐分析時,您可以從 Data Lake 查詢移至端點查詢或採用其他方式。
將建立一個新查詢,顯示共用 SHA-256 的所有正在執行的進程。