更新时间:2024-08-12
时间检索
- 时间类型:最近发生时间、最早发生时间;
- 时间范围:根据时间段进行安全事件检索,包括最近180天、最近30、最近7天、最近24小时、自定义;
- 刷新间隔:支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全事件,在重保等关键时期,可以设置自动刷新频率,不需要人为手动点击,省去重复性点击动作,帮助您更好聚焦安全事件研判。
导航栏检索
在安全事件导航栏支持以事件等级、事件来源、GPT研判结论、事件定性、标签、数据源以及处置状态进行初步筛选。
- 等级:严重、高危、中危、中危、信息
- 事件来源:专家狩猎、检测引擎、样例事件、自定义事件
- GPT研判结论:真实攻击成功、病毒木马活动、真实攻击未成功、疑似攻击行为、误报等
- 事件定性:定向攻击、病毒事件、攻防演练、自动化攻击、 风险暴露、未定性威胁
- 标签:邮件攻击、账号爆破、流量异常等
- 数据源:NDR、EDR、EDR&NDR等
- 处置状态:待处置、处置中、已遏制、处置完成、挂起、已忽略
简易模式检索
如果需要更精准进行过滤,XDR提供简易模式搜索,按照可视化编程,筛选关键字填入对应参数进行快速过滤,让您更容易上手使用。包括以下检索字段:
- 名称、事件ID、描述、安全事件一级分类、安全事件二级分类、影响资产、最早发生时间、最近发生时间、设备来源、事件引擎、加白状态、所属资产组、事件规则ID、服务事件ID、处置执行方式
专家模式检索
如果您具备安全基础或者熟悉使用深信服SPL语法,XDR同样也支持使用SPL语法过滤展示安全事件,安全事件处理导航栏选择专家模式,在输入框中输入话句表达式进行检索,您可以点击表达式后方的五角星按钮保存当前的SPL搜索语句,方便您后续快捷使用该SPL命令。
点击SPL表达式输入框,SPL表达式一般以filter开头,衔接需要过滤的关键如名称、描述、事件ID等,将鼠标移动到关键字标签上自动显示关键字对应的中文释义。
此示例中选择名称关键字,选择完成关键字后,衔接运算符以及正则匹配,常见有in、like、rlike、=等运算符,并且每种运算符后都给出使用示例,如like运算符后参数填写格式为"*值*",需要注意的是SPL表达式均需要保持英文键盘状态输入。
在此示例中选择like运算符,比如说过滤冰蝎相关的安全事件。输入完表达式下方没有出现红色虚线代表表达式语法正确。
这样子就完成一次专家模式使用SPL表达式精确检索展示,SPL表达式之间允许通过and或者or条件进行多条件查询。如and表示同时满足左右两个条件,or表示满足左右两个条件中至少一个。