尋找
您必須加入 EAP 才能使用這項功能。
您可以在 Sophos Data Lake 中找到特定的端點資料。
您可以搜尋入侵指標 (IOC) 或其他資料,例如 IP 位址或使用者名稱。
您可以使用查詢語言 Lucene 建立搜尋。有關說明,請參見 Lucene 教程。
「搜尋」頁面
移至威脅分析中心 > 搜尋。
使用右窗格可建立並執行搜尋,並顯示符合搜尋的結果清單。
左側的結構描述窗格顯示您可在搜尋中使用的資料欄位。此外,還可用於新增、移除或重新排序結果中的相應欄。
建立並執行搜尋
如需建立並執行搜尋,請依照以下步驟進行:
- 移至威脅分析中心 > 搜尋。
- 選取要搜尋的偵測的時間範圍。
-
在顯示「鍵入 @ 自動完成」的搜尋列中輸入搜尋。
- 鍵入 @ 並開始鍵入要包含在搜尋中的資料欄位的名稱。系統會顯示相符欄位的清單。
-
輸入一個資料欄位,後跟一個冒號,然後輸入搜尋參數。您可以包含多個資料欄位。以下是一些範例:
hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDPcommand_line:mimikatz
或者,您可以使用自由文字輸入來輸入自己的搜尋字串。如欲瞭解更多詳情,請參閱 如何建立搜尋。
-
(可選)在左側窗格中,選取要在結果中查看的資料欄位。按一下可用欄中的名稱,將其新增至結果中顯示的可見欄。
有關更多詳細資料,請參見 新增、移除或重新排序欄
-
单击搜索。您會在下方窗格中看到結果。
-
若要查看偵測的完整詳細資料,請按一下偵測旁邊的箭號。目前,詳細資料會以 JSON 表格的形式顯示。
目前您無法儲存搜尋。
您無法對結果中的偵測採取任何動作。在以後的版本中,您將能夠選取偵測並將其新增到威脅分析中心調查中。
如何建立搜尋
使用我們的資料欄位建立搜尋,或輸入您自己的文字。
資料欄位加參數
輸入資料欄位(左窗格中顯示的任何欄位),然後輸入冒號和搜尋參數。
您可以使用多個資料欄位建立搜尋。以下是一些範例:
process_name:lsass AND username:admin OR username:system
event_id:4100 OR event_id:4013 OR event_id:4104 NOT username:"help desk"
sha1:0a43ff3773e7fcbb9a98029957c41bc3af56ae94 AND dest_ip:"1.2.3.4"
hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP
command_line:mimikatz
run_as_username:system OR run_as_username:admin
自由文字輸入
輸入文字字串以尋找包含輸入文字的偵測。對於包含特殊字元的 MAC 位址或 IP 位址等字串,請在自由文字搜尋中使用引號。
以下是一些範例:
0a43ff3773e7fcbb9a98029957c41bc3af56ae94
jdoe
"00:00:5e:00:53:af"
篩選結果
若要只查看您最感興趣的結果,請執行下列動作:
-
按一下新增篩選器。
-
在快速篩選器中,輸入將篩選結果的表達式。
變更結果中的欄
您可以接受結果中的預設欄,也可以變更並重新排序這些欄。
預設欄
預設情況下,結果中將顯示以下欄。
| 欄位 | 詳細資訊 |
|---|---|
| 時間 | - |
| 類別 | 例如,"network" |
| activity_type | 例如,"open sockets" |
| 主機名稱 | - |
| 使用者名稱 | 如果沒有使用者登入,則不會在例如伺服器上顯示 |
| device_IP | - |
| device_mac | MAC 位址 |
| device_type | 例如,用戶端或伺服器 |
| device_make | 例如,Windows 或 macOS |
新增、移除或重新排序欄
您可以變更並重新排序結果中顯示的資料欄。
在左窗格中,可見欄列出目前在結果中顯示的欄。可用欄顯示您可以選取的其他欄。
要移除欄,請在可見欄中按一下其名稱旁邊的減號。
要新增欄,請在可用欄中按一下其名稱。該欄將新增到可見欄清單中,並顯示為結果表中的最後一欄。
要查找要新增的欄,請在搜尋欄位中輸入名稱。
若要變更結果表中欄的順序,請將可見欄清單中的名稱拖曳至您想要的順序。