在源代码模式下搜索事件

在源代码模式下定义事件搜索条件：

1. 在应用程序 Web 界面窗口中，选择威胁搜索部分，源代码选项卡。

   这将打开一个表单，其中包含用于在源代码模式下输入事件搜索条件的字段。

2. 使用条件、运算符、逻辑运算符 OR 和 AND 以及分组条件的括号输入事件搜索条件。

   搜索条件必须符合以下语法：<条件> <运算符> <条件值>。

   示例： EventType == 'filechange' AND ( ( FileName == '*example*' OR DllName == '*example*' OR DroppedName == '*example*' OR BlockedName == '*example*' OR InterpretedFileName == '*example*' OR InterpretedFiles.FileName == '*example*' OR TargetName == '*example*' OR HandleSourceName == '*example*' OR HandleTargetName == '*example*' ) OR UserName == '*example*' )

   您可以使用自动完成功能。为此，将光标放在查询行中，然后按 Ctrl + Space。

3. 如果您想搜索在特定时段内发生的事件，请单击任何时候按钮并选择以下某个事件搜索时段：
   • 任何时候，如果您希望表显示最早发现的记录的事件。
   • 上一个小时，如果您希望表格显示在最后一个小时内找到的事件。
   • 最后一天，如果您希望表格显示在最后一天内找到的事件。
   • 自定义范围，如果您希望表格显示在指定时段内找到的事件。
4. 如果您选择了自定义范围:
   1. 在打开的日历中，指定事件显示范围的开始和结束日期。
   2. 单击应用。

   日历关闭。

5. 单击搜索。

   满足搜索条件的事件表将显示。

   如果您使用分布式解决方案和多租户模式，找到的事件将按层分组：服务器 – 租户名称 – 服务器名称。

   

   Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。

   

   安装有 Central Node 组件的服务器的两层架构。此架构分配主控制服务器 （主 Central Node (PCN)）和从属服务器（从属 Central Node (SCN)）。

6. 单击要查看其事件的服务器的名称。

   所选服务器的主机表将显示。事件分组级别显示在表格上方。

另请参阅 事件数据库威胁追踪 在构建器模式下搜索事件 转换为以源代码模式搜索事件的查询 事件搜索条件 运算符 对表中的事件进行排序 更改事件搜索条件 按 EPP 应用程序中的处理结果搜索事件 使用 IOC 或 YAML 文件中指定的条件搜索事件 根据事件搜索条件创建 TAA (IOA) 规则

页面顶部