在源代码模式下定义事件搜索条件:
这将打开一个表单,其中包含用于在源代码模式下输入事件搜索条件的字段。
OR
AND
搜索条件必须符合以下语法:<条件> <运算符> <条件值>。
<条件> <运算符> <条件值>
示例:
EventType == 'filechange' AND
(
FileName == '*example*' OR
DllName == '*example*' OR
DroppedName == '*example*' OR
BlockedName == '*example*' OR
InterpretedFileName == '*example*' OR
InterpretedFiles.FileName == '*example*' OR
TargetName == '*example*' OR
HandleSourceName == '*example*' OR
HandleTargetName == '*example*'
) OR
UserName == '*example*'
)
您可以使用自动完成功能。为此,将光标放在查询行中,然后按 Ctrl + Space。
日历关闭。
满足搜索条件的事件表将显示。
如果您使用分布式解决方案和多租户模式,找到的事件将按层分组:服务器 – 租户名称 – 服务器名称。
Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。
安装有 Central Node 组件的服务器的两层架构。此架构分配主控制服务器 (主 Central Node (PCN))和从属服务器(从属 Central Node (SCN))。
所选服务器的主机表将显示。事件分组级别显示在表格上方。
另请参阅
事件数据库威胁追踪
在构建器模式下搜索事件
转换为以源代码模式搜索事件的查询
事件搜索条件
运算符
对表中的事件进行排序
更改事件搜索条件
按 EPP 应用程序中的处理结果搜索事件
使用 IOC 或 YAML 文件中指定的条件搜索事件
根据事件搜索条件创建 TAA (IOA) 规则