在源代码模式下搜索事件

在源代码模式下定义事件搜索条件:

  1. 在应用程序 Web 界面窗口中,选择威胁搜索部分,源代码选项卡。

    这将打开一个表单,其中包含用于在源代码模式下输入事件搜索条件的字段。

  2. 使用条件运算符、逻辑运算符 ORAND 以及分组条件的括号输入事件搜索条件。

    搜索条件必须符合以下语法:<条件> <运算符> <条件值>

    示例:

    EventType == 'filechange' AND

    (

    (

    FileName == '*example*' OR

    DllName == '*example*' OR

    DroppedName == '*example*' OR

    BlockedName == '*example*' OR

    InterpretedFileName == '*example*' OR

    InterpretedFiles.FileName == '*example*' OR

    TargetName == '*example*' OR

    HandleSourceName == '*example*' OR

    HandleTargetName == '*example*'

    ) OR

    UserName == '*example*'

    )

     

    您可以使用自动完成功能。为此,将光标放在查询行中,然后按 Ctrl + Space

  3. 如果您想搜索在特定时段内发生的事件,请单击任何时候按钮并选择以下某个事件搜索时段:
    • 任何时候,如果您希望表显示最早发现的记录的事件。
    • 上一个小时,如果您希望表格显示在最后一个小时内找到的事件。
    • 最后一天,如果您希望表格显示在最后一天内找到的事件。
    • 自定义范围,如果您希望表格显示在指定时段内找到的事件。
  4. 如果您选择了自定义范围:
    1. 在打开的日历中,指定事件显示范围的开始和结束日期。
    2. 单击应用

    日历关闭。

  5. 单击搜索

    满足搜索条件的事件表将显示。

    如果您使用分布式解决方案多租户模式,找到的事件将按层分组:服务器 – 租户名称 – 服务器名称。

  6. 单击要查看其事件的服务器的名称。

    所选服务器的主机表将显示。事件分组级别显示在表格上方。

另请参阅

事件数据库威胁追踪

在构建器模式下搜索事件

转换为以源代码模式搜索事件的查询

事件搜索条件

运算符

对表中的事件进行排序

更改事件搜索条件

按 EPP 应用程序中的处理结果搜索事件

使用 IOC 或 YAML 文件中指定的条件搜索事件

根据事件搜索条件创建 TAA (IOA) 规则

页面顶部