在設計模式下搜尋事件

若要在建構器模式下定義事件搜尋條件：

1. 選擇程式 Web 介面視窗中威脅搜尋部分的產生器頁簽。

   這將開啟事件搜尋表單。

2. 在下拉清單中，選擇事件搜尋條件。

   您可以在“事件搜尋條件”部分檢視事件搜尋條件描述。

3. 在下拉清單中，選擇運算子。

   有關可用運算子的清單，請參閱“運算子”部分。

   每種類型的欄位值都有其自己相關的一組運算子。例如，當選擇 EventType欄位值類型時，=和!=運算子將可用。

4. 根據選定的欄位值類型，執行下列操作之一：
   • 在該欄位中，指定您想要用於執行事件搜尋的一個或多個字元。
   • 在下拉清單中，選擇您想要執行事件搜尋的欄位值選項。

   例如，要根據使用者名稱搜尋完整匹配，請輸入使用者名稱。

5. 如果您想要新增條件，請使用 AND或OR邏輯運算子並重複新增條件的必要操作。
6. 如果您想要新增一組條件，請點擊群組按鈕並重複新增條件所需的操作。
7. 如果您想刪除一組條件，請點擊移除群組按鈕。
8. 如果您想搜尋在特定時段內發生的事件，請在最後一天下拉清單中選擇以下事件搜尋時段之一：
   • 最後一天，如果您希望表格顯示在最後一天內找到的事件。
   • 上一個小時，如果您希望表格顯示在最後一小時內找到的事件。
   • 上星期，如果您希望表格顯示在最後一星期內找到的事件。
   • 自訂範圍，如果您希望表格顯示在指定時段內找到的事件。
9. 如果您選擇了自訂範圍:
   1. 在開啟的日曆中，指定事件顯示範圍的開始和結束日期。
   2. 點擊套用。

   日曆關閉。

10. 點擊搜尋。

    滿足搜尋條件的事件表將顯示。

    如果您使用分佈式解決方案和多租戶模式，找到的事件將按層分組：伺服器 – 租戶名稱– 伺服器名稱。

    

    Kaspersky Anti Targeted Attack Platform 被用來同時防護多個組織或同一組織分支機構的基礎架構的運作模式。

    

    安裝有 Central Node 元件的伺服器的兩層架構。此架構分配主控制伺服器（主 Central Node (PCN)）和從屬伺服器（從屬 Central Node (SCN)）。

11. 點擊您要檢視其事件的伺服器的名稱。

所選伺服器的主機表將顯示。事件分組層級顯示在表格上方。

您可以將建構器中建立的查詢轉換為原始碼模式下的事件搜尋查詢。

另請參閱 事件資料庫威脅追蹤 在原始碼模式下搜尋事件 轉換為以原始碼模式搜尋事件的查詢 事件搜尋條件 運算子 將表中的事件進行排序 變更事件搜尋條件 搜尋“偵測”和“偵測處理結果”類型的事件 使用 IOC 或 YAML 檔案中指定的條件搜尋事件 根據事件搜尋條件建立 TAA (IOA) 規則

頁面頂部