搜尋
XDR Search 可用於在 Sophos Data Lake 中尋找特定資料。
您可以搜尋入侵指標 (IOC) 或其他資料,例如 IP 位址或使用者名稱。
建立並執行搜尋
您可以使用兩種不同的方式建立搜尋:
- 使用我們的搜尋生成器建立基本搜尋。這是預設設定。
- 使用查詢語言 Lucene 或自由文字輸入建立進階搜尋。
有關說明,請選取下方相應的索引標籤。
基本搜尋易於建立。
您可以使用我們的交互式搜尋生成器建立基本搜尋。
-
移至威脅分析中心 > 搜尋。
-
選取要搜尋的偵測的時間範圍。
-
選取您要搜尋的資料。目前,您只能搜尋端點資料。
-
在搜尋列中,按一下「新增」圖示以查看常用的搜尋欄位。
-
在常用對話方塊中,按一下欄位。
-
在搜尋生成器中,使用下拉式功能表新增運算子(如
IS或INCLUDES),然後輸入值。例如:
Device IP IS 148.139.13.160
-
或者,按一下列以選取運算子(
AND、OR或NOT)並新增另一個欄位。然後按一下新增。例如:
hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP -
或者,選取要在結果中查看的資料欄位。按一下欄並選取所需欄位。
-
单击搜索。您會在下方窗格中看到結果。
-
若要查看偵測的完整詳細資料,請按一下偵測旁邊的箭號。
目前,您無法儲存搜尋或對結果中的偵測執行動作。
您可以使用查詢語言 Lucene 或輸入您自己的文字來建立進階搜尋。
若要建立進階搜尋,請執行以下動作:
-
按一下切換至進階查詢。
-
在「搜尋」列中,輸入資料欄位和參數,或自由文字,如下面的部分所述。
- 单击搜索。您會在下方窗格中看到結果。
使用資料欄位和參數
輸入資料欄位,後跟一個冒號,然後輸入搜尋參數。有關您可以使用的資料欄位的完整詳細資料,請參見 用於搜尋的資料欄位。
您可以使用多個資料欄位建立搜尋。以下是一些範例:
process_name:lsass AND username:admin OR username:system
sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"
有關說明,請參見 Lucene 教程。
使用自由文字輸入
輸入文字字串以尋找包含輸入文字的偵測。對於包含特殊字元的 MAC 位址或 IP 位址等字串,請在自由文字搜尋中使用引號。
以下是一些範例:
0a43ff3773e7fcbb9a98029957c41bc3af56ae94
jdoe
"00:00:5e:00:53:af"
設定結果清單
您可以接受結果中顯示的預設欄,也可以變更並重新排序這些欄。
預設欄
預設情況下,結果中將顯示以下欄。
| 欄位 | 詳細資訊 |
|---|---|
| 時間 | - |
| 類別 | 例如,"network" |
| activity_type | 例如,"open sockets" |
| 主機名稱 | - |
| 使用者名稱 | 如果沒有使用者登入,則不會在例如伺服器上顯示 |
| device_IP | - |
新增或移除欄
您可以變更並重新排序結果中顯示的資料欄。要變更顯示的欄,請按一下欄,然後選取所需欄。
重新排序欄
要變更結果表中欄的順序,請執行以下操作:
-
按一下欄標頭並將其拖至所需位置。
-
當您在表格標頭上方和下方看到箭號時,表示您可以將欄標頭拖至那裡。
