在原始碼模式下搜尋事件

在原始碼模式下定義事件搜尋條件：

1. 在應用程式 Web 介面視窗中，選擇威脅搜尋部分，原始碼頁簽。

   這將開啟一個表單，其中包含用於在原始碼模式下輸入事件搜尋條件的欄位。

2. 使用條件、運算子、邏輯運算子OR和AND以及分組條件的括號輸入事件搜尋條件。

   搜尋條件必須符合下列語法：<條件> <運算子> <條件值>。

   範例： EventType == 'filechange' AND ( ( FileName == '*example*' OR DllName == '*example*' OR DroppedName == '*example*' OR BlockedName == '*example*' OR InterpretedFileName == '*example*' OR InterpretedFiles.FileName == '*example*' OR TargetName == '*example*' OR HandleSourceName == '*example*' OR HandleTargetName == '*example*' ) OR UserName == '*example*' )

   您可以使用自動完成功能。為此，將遊標放在查詢行中，然後按 Ctrl + Space。

3. 如果您想搜尋在特定時段內發生的事件，請點擊任何時候按鈕並選擇以下某個事件搜尋時段：
   • 任何時候，如果您希望表格顯示最早發現的記錄的事件。
   • 上一個小時，如果您希望表格顯示在最後一小時內找到的事件。
   • 最後一天，如果您希望表格顯示在最後一天內找到的事件。
   • 自訂範圍，如果您希望表格顯示在指定時段內找到的事件。
4. 如果您選擇了自訂範圍:
   1. 在開啟的日曆中，指定事件顯示範圍的開始和結束日期。
   2. 點擊套用。

   日曆關閉。

5. 點擊搜尋。

   滿足搜尋條件的事件表將顯示。

   如果您使用分佈式解決方案和多租戶模式，找到的事件將按層分組：伺服器 – 租戶名稱– 伺服器名稱。

   

   Kaspersky Anti Targeted Attack Platform 被用來同時防護多個組織或同一組織分支機構的基礎架構的運作模式。

   

   安裝有 Central Node 元件的伺服器的兩層架構。此架構分配主控制伺服器（主 Central Node (PCN)）和從屬伺服器（從屬 Central Node (SCN)）。

6. 點擊您要檢視其事件的伺服器的名稱。

   所選伺服器的主機表將顯示。事件分組層級顯示在表格上方。

另請參閱 事件資料庫威脅追蹤 在建構器模式下搜尋事件 轉換為以原始碼模式搜尋事件的查詢 事件搜尋條件 運算子 將表中的事件進行排序 變更事件搜尋條件 搜尋“偵測”和“偵測處理結果”類型的事件 使用 IOC 或 YAML 檔案中指定的條件搜尋事件 根據事件搜尋條件建立 TAA (IOA) 規則

頁面頂部