При работе в веб-интерфейсе приложения вы можете формировать поисковые запросы и использовать файлы формата IOC и YAML для поиска угроз по базе событий в рамках тех тенантов, к данным которых у вас есть доступ.
Для формирования поисковых запросов по базе событий вы можете использовать режим конструктора или режим исходного кода.
В режиме конструктора вы можете создавать и изменять поисковые запросы с помощью раскрывающихся списков с вариантами типа значения поля и операторов.
В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд.
Вы можете загрузить IOC-файл или YAML-файл с Sigma-правилом и искать события по условиям, заданным в этом файле.
Пользователи с ролью Старший сотрудник службы безопасности также могут создавать правила TAA (IOA) на основе условий поиска событий.