콘텐츠로 이동

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=global-search

검색

이 기능을 사용하려면 EAP에 가입해야 합니다.

EAP에 포함된 내용을 확인하고 검색 작성에 대한 팁을 얻을 수 있습니다. 자세한 내용은 EAP: Sophos XDR에서 SQL 없이 간편하게 검색

Sophos 데이터 레이크에서 특정 엔드포인트 데이터를 찾을 수 있습니다.

침해 지표(IOC) 또는 IP 주소나 사용자 이름 같은 기타 데이터를 검색할 수 있습니다.

쿼리 언어 Lucene을 사용하여 검색을 만듭니다. 자세한 내용은 Lucene 자습서를 참조하십시오.

검색 페이지

위협 분석 센터 > 검색으로 이동합니다.

오른쪽 창에서 검색을 만들고 실행할 수 있으며 검색과 일치하는 결과 목록이 표시됩니다.

왼쪽의 스키마 창에는 검색에 사용할 수 있는 데이터 필드가 표시됩니다. 또한 결과에서 해당 열을 추가, 제거 또는 다시 정렬할 수 있습니다.

각 데이터 필드 옆에는 기호가 있습니다.

  • T는 텍스트 필드입니다. 이것은 데이터 레이크에 도달할 때 인덱싱됩니다. 와일드카드를 사용하지 않고 이러한 필드를 검색할 수 있습니다.
  • #은 숫자 필드입니다. 이러한 필드를 검색할 때는 와일드카드를 사용해야 합니다.

데이터 필드에 대한 자세한 내용은 검색을 위한 데이터 필드을 참조하십시오.

위협 분석 센터의 검색 페이지

검색 만들기 및 실행

검색을 만들고 실행하려면 다음과 같이 하십시오.

  1. 위협 분석 센터 > 검색으로 이동합니다.
  2. 검색하려는 감지의 시간 범위를 선택합니다.

  3. "자동 완성을 위한 @ 입력"이 표시되는 검색 창에 검색을 입력합니다.

    1. @를 입력하고 검색에 포함할 데이터 필드의 이름을 입력합니다. 일치하는 필드 목록이 표시됩니다.

    2. 데이터 필드, 콜론, 검색 매개 변수를 차례로 입력합니다. 여러 데이터 필드를 포함할 수 있습니다. 다음은 몇 가지 예입니다.

      hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP

      command_line:mimikatz

    또는, 자유 텍스트 입력을 사용하여 원하는 검색 문자열을 입력할 수 있습니다. 자세한 내용은 검색을 구성하는 방법를 참조하십시오.

    검색 창

  4. 원하는 경우 왼쪽 창에서 결과에 표시할 데이터 필드를 선택합니다. 사용 가능한 열에서 이름을 클릭하여 결과에 표시할 표시되는 열에 추가합니다.

    자세한 내용은 열 추가, 제거 또는 다시 정렬을(를) 참조하십시오.

    데이터 필드 목록

  5. 검색을 클릭합니다. 아래 창에 결과가 표시됩니다.

    검색 결과

  6. 감지의 전체 세부 정보를 보려면 감지 옆에 있는 화살표를 클릭합니다. 현재 세부 정보는 JSON 테이블에 표시됩니다.

    감지 세부 정보

현재 검색을 저장할 수 없습니다.

결과에서는 감지에 대해 어떤 조치도 취할 수 없습니다. 이후 릴리스에서는 감지를 선택하여 위협 분석 센터 조사에 추가할 수 있습니다.

검색을 구성하는 방법

데이터 필드를 사용하여 검색을 구성하거나 텍스트를 직접 입력합니다.

데이터 필드 및 매개 변수

데이터 필드(왼쪽 창에 표시되는 필드), 콜론, 검색 매개 변수를 차례로 입력합니다.

데이터 필드가 여러 개인 검색을 만들 수 있습니다. 다음은 몇 가지 예입니다.

process_name:lsass AND username:admin OR username:system

event_id:4100 OR event_id:4013 OR event_id:4104 NOT username:"help desk"

sha1:0a43ff3773e7fcbb9a98029957c41bc3af56ae94 AND dest_ip:"1.2.3.4"

hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP

command_line:mimikatz

run_as_username:system OR run_as_username:admin

자유 텍스트 입력

입력한 텍스트가 포함된 감지를 찾으려면 텍스트의 문자열을 입력합니다. 특수 문자를 포함하는 MAC 주소나 IP 주소와 같은 문자열의 경우 자유 텍스트 검색에서 따옴표를 사용합니다.

다음은 몇 가지 예입니다.

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

결과 필터링

가장 관심 있는 결과만 보려면 다음과 같이 하십시오.

  1. 필터 추가를 클릭합니다.

    필터 옵션 추가

  2. 빠른 필터에 결과를 필터링할 식을 입력합니다.

    빠른 필터 대화 상자

결과의 열 변경

결과에 기본 열을 적용하거나 열을 변경하고 다시 정렬할 수 있습니다.

기본 열

기본적으로 다음 열이 결과에 표시됩니다.

세부 정보
시간 -
범주 예: "네트워크"
activity_type 예: "오픈 소켓"
호스트 이름 -
사용자 이름 예를 들어 서버에 로그인한 사용자가 없는 경우에는 표시되지 않음
device_IP -
device_mac MAC 주소
device_type 예: 클라이언트 또는 서버
device_make 예: Windows 또는 macOS

열 추가, 제거 또는 다시 정렬

결과에 표시되는 데이터의 열을 변경하거나 다시 정렬할 수 있습니다.

열 선택기

왼쪽 창의 표시되는 열에는 결과에 현재 표시된 열이 나열됩니다. 사용 가능한 열에는 선택할 수 있는 추가 열이 표시됩니다.

열을 제거하려면 표시되는 열에서 해당 이름 옆에 있는 빼기 기호를 클릭합니다.

열을 추가하려면 사용 가능한 열에서 해당 이름을 클릭합니다. 열이 표시되는 열 목록에 추가되고 결과 테이블의 마지막 열로 표시됩니다.

추가할 열을 찾으려면 검색 필드에 이름을 입력합니다.

결과 테이블의 열 순서를 변경하려면 표시되는 열 목록의 이름을 원하는 순서로 끌어갑니다.