跳至內容

搜尋

XDR Search 可用於在 Sophos Data Lake 中尋找特定資料。

您可以搜尋入侵指標 (IOC) 或其他資料,例如 IP 位址或使用者名稱。

建立並執行搜尋

您可以使用兩種不同的方式建立搜尋:

  • 使用我們的搜尋生成器建立基本搜尋。這是預設設定。
  • 使用查詢語言 Lucene 或自由文字輸入建立進階搜尋。

有關說明,請選取下方相應的索引標籤。

基本搜尋易於建立。

您可以使用我們的交互式搜尋生成器建立基本搜尋。

  1. 移至威脅分析中心 > 搜尋

    「搜尋」頁面。

  2. 選取要搜尋的偵測的時間範圍。

    搜尋時間範圍。

  3. 選取您要搜尋的資料。目前,您只能搜尋端點資料

    搜尋資料。

  4. 在搜尋列中,按一下「新增」圖示以查看常用的搜尋欄位。

    「新增」圖示。

  5. 常用對話方塊中,按一下欄位。

    常用欄位。

  6. 搜尋生成器中,使用下拉式功能表新增運算子(如 ISINCLUDES),然後輸入值。

    例如:Device IP IS 148.139.13.160

    搜尋生成器。

  7. 或者,按一下以選取運算子(ANDORNOT)並新增另一個欄位。然後按一下新增

    例如:hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP

  8. 或者,選取要在結果中查看的資料欄位。按一下並選取所需欄位。

    搜尋欄選取器。

  9. 单击搜索。您會在下方窗格中看到結果。

    搜尋結果。

  10. 若要查看偵測的完整詳細資料,請按一下偵測旁邊的箭號。

目前,您無法儲存搜尋或對結果中的偵測執行動作。

您可以使用查詢語言 Lucene 或輸入您自己的文字來建立進階搜尋。

若要建立進階搜尋,請執行以下動作:

  1. 按一下切換至進階查詢

    切換至進階查詢。

  2. 在「搜尋」列中,輸入資料欄位和參數,或自由文字,如下面的部分所述。

  3. 单击搜索。您會在下方窗格中看到結果。

使用資料欄位和參數

輸入資料欄位,後跟一個冒號,然後輸入搜尋參數。有關您可以使用的資料欄位的完整詳細資料,請參見 用於搜尋的資料欄位

您可以使用多個資料欄位建立搜尋。以下是一些範例:

process_name:lsass AND username:admin OR username:system

sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"

有關說明,請參見 Lucene 教程

使用自由文字輸入

輸入文字字串以尋找包含輸入文字的偵測。對於包含特殊字元的 MAC 位址或 IP 位址等字串,請在自由文字搜尋中使用引號。

以下是一些範例:

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

設定結果清單

您可以接受結果中顯示的預設欄,也可以變更並重新排序這些欄。

預設欄

預設情況下,結果中將顯示以下欄。

欄位 詳細資訊
時間 -
類別 例如,"network"
activity_type 例如,"open sockets"
主機名稱 -
使用者名稱 如果沒有使用者登入,則不會在例如伺服器上顯示
device_IP -

新增或移除欄

您可以變更並重新排序結果中顯示的資料欄。要變更顯示的欄,請按一下,然後選取所需欄。

選取欄位。

重新排序欄

要變更結果表中欄的順序,請執行以下操作:

  1. 按一下欄標頭並將其拖至所需位置。

    移動欄。

  2. 當您在表格標頭上方和下方看到箭號時,表示您可以將欄標頭拖至那裡。

    插入欄。