Pesquisar
A Pesquisa XDR permite localizar dados específicos no Sophos Data Lake.
Você pode pesquisar indicadores de comprometimento (IOCs) ou outros dados, como endereços IP ou nomes de usuário.
Criar e executar uma pesquisa
Você pode criar pesquisas de duas maneiras diferentes:
- Crie uma pesquisa básica usando nosso construtor de pesquisa. Essa é a opção padrão.
- Crie uma pesquisa avançada usando a linguagem de consulta Lucene ou entrada de texto livre.
Para obter instruções, selecione a guia apropriada abaixo.
Pesquisas básicas são simples de criar.
Você cria uma pesquisa básica usando nosso Construtor de pesquisa interativo.
-
Vá para Centro de Análise de Ameaças > Pesquisar.
-
Selecione o intervalo de tempo para as detecções que deseja pesquisar.
-
Selecione o dado que deseja pesquisar. Atualmente, você só pode pesquisar Dados de endpoint.
-
Na barra de pesquisa, clique no ícone Adicionar para ver os campos de pesquisa mais usados.
-
Na caixa de diálogo Comumente usadas, clique em um campo.
-
No Construtor de pesquisa, use o menu suspenso para adicionar um operador, como
ISouINCLUDES, e insira um valor.Por exemplo:
Device IP IS 148.139.13.160
-
Opcionalmente, clique em Linha para selecionar um operador (
AND,ORouNOT) e adicione outro campo. Em seguida, clique em Adicionar.Por exemplo:
hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP -
Opcionalmente, selecione os campos de dados que deseja ver nos resultados. Clique em Colunas e selecione os campos desejados.
-
Clique em Pesquisar. Os resultados são exibidos no painel inferior.
-
Para ver todos os detalhes de uma detecção, clique na seta ao lado dela.
Atualmente, você não pode salvar suas pesquisas nem atuar nas detecções nos resultados.
Você pode criar uma pesquisa avançada usando a linguagem de consulta Lucene ou inserindo seu próprio texto.
Para criar uma pesquisa avançada, faça o seguinte:
-
Clique em Mudar para consulta avançada.
-
Na barra Pesquisar, insira campos de dados e também parâmetros, ou texto livre, conforme descrito nas seções abaixo.
- Clique em Pesquisar. Os resultados são exibidos no painel inferior.
Usar campos de dados, mais os parâmetros
Insira o campo de dados seguido de dois pontos e do parâmetro de pesquisa. Para obter mais detalhes sobre os campos de dados que podem ser usados, consulte Campos de dados de Pesquisa.
Você pode criar pesquisas com vários campos de dados. Veja aqui alguns exemplos:
process_name:lsass AND username:admin OR username:system
sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"
Para obter ajuda, consulte o Tutorial do Lucene.
Usar entrada de texto livre
Insira uma cadeia de texto para localizar detecções que incluam o texto inserido. Para strings como endereços MAC ou endereços IP, que incluem caracteres especiais, use aspas nas pesquisas de texto livre.
Veja aqui alguns exemplos:
0a43ff3773e7fcbb9a98029957c41bc3af56ae94
jdoe
"00:00:5e:00:53:af"
Configurar a lista de resultados
Você pode aceitar as colunas padrão exibidas nos resultados ou alterá-las e reordená-las.
Colunas padrão
Por padrão, as seguintes colunas são mostradas nos resultados.
| Coluna | Detalhes |
|---|---|
| hora | - |
| categoria | Por exemplo, "rede" |
| activity_type | Por exemplo, "soquetes abertos" |
| nome de host | - |
| nome de usuário | Não aparece se não houver nenhum usuário conectado, por exemplo, a um servidor |
| device_IP | - |
Adicionar ou remover colunas
Você pode alterar e reordenar as colunas de dados mostradas nos resultados. Para alterar as colunas mostradas, clique em Colunas e selecione as colunas desejadas.
Reordenar colunas
Para alterar a ordem das colunas na tabela de resultados, faça o seguinte:
-
Clique em um cabeçalho de coluna e arraste-o até o local desejado.
-
Quando vir as setas para cima e para baixo no cabeçalho da tabela, você pode soltar o cabeçalho da coluna no local.
