При работе в веб-интерфейсе приложения вы можете формировать поисковые запросы и использовать IOC-файлы для поиска угроз по базе событий в рамках тех тенантов, к данным которых у вас есть доступ.
Для формирования поисковых запросов по базе событий вы можете использовать режим конструктора или режим исходного кода.
В режиме конструктора вы можете создавать и изменять поисковые запросы с помощью раскрывающихся списков с вариантами типа значения поля и операторов.
В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд.
Вы можете загрузить IOC-файл и искать события по условиям, заданным в этом IOC-файле.
Пользователи с ролью Старший сотрудник службы безопасности, Сотрудник службы безопасности также могут создавать правила TAA (IOA) на основе условий поиска событий.