更新时间:2023-11-27
XDR在调查导航栏下安全事件、安全告警、风险资产、日志检索等功能提供专家模式进行调查工作。专家模式采用SPL语句检索,可在输入框中输入语句表达式进行检索。SPL语句格式一般有以下几个部分
其中filter为关键字,过滤字段、关系运算符、字段值一起构成了过滤条件。
1.管道符号 |
说明:| 是管道符号,用来连接关键字
| ❕格式 |
| filter 字段 运算符 字段值 | filter 字段 运算符 字段值 | filter 字段 运算符 字段值 |
| ❕举例:过滤所有riskLevel等于critical,attackCount 等于50的数据 |
| filter riskLevel="critical" | filter attackCount=50 |
2.等于(=)、不等于(!=)小于等于(<=)、小于(<)
说明:关系运算符
| ❕格式 |
| filter 过滤字段 关系运算符 字段值 |
| ❕举例:过滤所有 riskLevel 等于 critical 的数据 |
| filter riskLevel = "critical" |
3.and、or、not
说明:逻辑运算符
| ❕格式 |
| filter 字段 逻辑运算符 字段值 and 字段 逻辑运算符 字段值 |
| ❕举例一:过滤所有version大于等于1且name等于test6的数据 |
| filter version>=1 and name="test6" |
| ❕举例二:过滤所有name等于test6或者name等于test9的数据 |
| filter name="test6" or name="test9" |
| ❕举例三:过滤attackTypeCn不等于口令暴力破解攻击 |
| filter not attackTypeCn = "口令暴力破解攻击" |
4.rlike
| ❕格式 |
| filter 字段 rlike 正则表达式 |
| ❕举例:过滤所有name以to开头的数据 |
| filter name rlike "to.*" |
5.like
说明:模糊查询,通配符支持?、*:?单个占位符 ,*零个及多个占位符,比较灵活多变,需要注意的是like中字段值里的 | 代表或的意思
| ❕举例:过滤deviceld的字段值以“EDR”结尾 |
| filter deviceld like "*EDR" |
6.in
说明:范围查询,小括号()代表不包含边界值,中括号[]代表包含边界值,大括号{}代表枚举其中值,如果{}不用于枚举,只能用于日期以及数值类型字段查询。
| ❕举例一:过滤所有attackCount大于10,且小于等于60的数据 |
| filter attackCount in (10,60] |
| ❕举例二:过滤所有riskLevel等于critical,info中任意一个的数据 |
| filter riskLevel in {"critical","info"} |
建议使用Chrome浏览器访问!
