搜尋“偵測”和“偵測處理結果”類型的事件

若要搜尋“偵測”和“偵測處理結果”類型的事件：

1. 選擇程式 Web 介面視窗中威脅搜尋部分的產生器頁簽。

   這將開啟事件搜尋表單。

2. 若要依處理狀態搜尋事件：
   1. 在偵測和處理結果在群組中遺失的搜尋條件下拉式功能表中，選擇ThreatStatus。
   2. 在比較運算子下拉清單中，選擇以下選項之一：
      • =（等於）
      • !=（不等於）
   3. 在事件處理狀態下拉清單中，選擇下列選項之一：
      • 清洁物件。
      • 物体已清除。
      • 誤報。
      • 使用者新增的物件。
      • 物件已新增到排除清單中。
      • 物件已刪除。
      • 物件被隔離。
      • 未找到物件。
      • 物件已回溯。
      • 無法處理物件。
      • 物件未處理。
      • 處理已終止。
      • 未知。
3. 若要依事件未被處理的原因搜尋事件：
   1. 在偵測和處理結果在群組中遺失的搜尋條件下拉式功能表中，選擇UntreatedReason。
   2. 在比較運算子下拉清單中，選擇以下選項之一：
      • =（等於）
      • !=（不等於）
   3. 在事件未被處理的原因下拉清單中，選擇以下選項之一：
      • 已處理物件。
      • 應用程式正在僅報告模式下執行。
      • 備份物件失敗。
      • 複製物件失敗。
      • 裝置未準備好。
      • 物件被封鎖。
      • 無權執行操作。
      • 無法清除的物件。
      • 物件不可覆寫。
      • 未找到物件。
      • 磁碟上沒有可用空間。
      • 處理已取消。
      • 處理已推遲。
      • 處理工作已停止。
      • 讀取資料時出錯。
      • 原因不明。
      • 這是一個關鍵的系統物件。
      • 資料寫入錯誤。
      • 不支援資料寫入。
      • 物件寫防護。
4. 如果您想要新增條件，請使用 AND或OR邏輯運算子並重複新增條件的必要操作。
5. 如果您想要新增一組條件，請點擊群組按鈕並重複新增條件所需的操作。
6. 如果您想刪除一組條件，請點擊移除群組按鈕。
7. 如果您想搜尋在特定時段內發生的事件，請在任何時候下拉清單中選擇以下某個事件搜尋時段：
   • 任何時候，如果您希望表格顯示最早發現的記錄的事件。
   • 上一個小時，如果您希望表格顯示在最後一小時內找到的事件。
   • 最後一天，如果您希望表格顯示在最後一天內找到的事件。
   • 自訂範圍，如果您希望表格顯示在指定時段內找到的事件。
8. 如果您為找到的事件選擇了自訂範圍顯示時段：
   1. 在開啟的日曆中，指定事件顯示範圍的開始和結束日期。
   2. 點擊套用。

   日曆關閉。

9. 點擊搜尋。

滿足搜尋條件的事件表將顯示。

另請參閱 事件資料庫威脅追蹤 在建構器模式下搜尋事件 在原始碼模式下搜尋事件 轉換為以原始碼模式搜尋事件的查詢 事件搜尋條件 運算子 將表中的事件進行排序 變更事件搜尋條件 使用 IOC 或 YAML 檔案中指定的條件搜尋事件 根據事件搜尋條件建立 TAA (IOA) 規則

頁面頂部