时间检索

• 时间类型：最近发生时间、最早发生时间；
• 时间范围：根据时间段进行安全事件检索，包括最近180天、最近30、最近7天、最近24小时、自定义；
• 刷新间隔：支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全事件，在重保等关键时期，可以设置自动刷新频率，不需要人为手动点击，省去重复性点击动作，帮助您更好聚焦安全事件研判。

导航栏检索 

在安全事件导航栏支持以事件等级、事件来源、GPT研判结论、事件定性、标签、数据源以及处置状态进行初步筛选。

• 等级：严重、高危、中危、中危、信息
• 事件来源：专家狩猎、检测引擎、样例事件、自定义事件
• GPT研判结论：真实攻击成功、病毒木马活动、真实攻击未成功、疑似攻击行为、误报等
• 事件定性：定向攻击、病毒事件、攻防演练、自动化攻击、 风险暴露、未定性威胁
• 标签：邮件攻击、账号爆破、流量异常等
• 数据源：NDR、EDR、EDR&NDR等
• 处置状态：待处置、处置中、已遏制、处置完成、挂起、已忽略

简易模式检索

如果需要更精准进行过滤，XDR提供简易模式搜索，按照可视化编程，筛选关键字填入对应参数进行快速过滤，让您更容易上手使用。包括以下检索字段：

• 名称、事件ID、描述、安全事件一级分类、安全事件二级分类、影响资产、最早发生时间、最近发生时间、设备来源、事件引擎、加白状态、所属资产组、事件规则ID、服务事件ID、处置执行方式

专家模式检索

如果您具备安全基础或者熟悉使用深信服SPL语法，XDR同样也支持使用SPL语法过滤展示安全事件，安全事件处理导航栏选择专家模式，在输入框中输入话句表达式进行检索，您可以点击表达式后方的五角星按钮保存当前的SPL搜索语句，方便您后续快捷使用该SPL命令。

点击SPL表达式输入框，SPL表达式一般以filter开头，衔接需要过滤的关键如名称、描述、事件ID等，将鼠标移动到关键字标签上自动显示关键字对应的中文释义。

此示例中选择名称关键字，选择完成关键字后，衔接运算符以及正则匹配，常见有in、like、rlike、=等运算符，并且每种运算符后都给出使用示例，如like运算符后参数填写格式为"*值*"，需要注意的是SPL表达式均需要保持英文键盘状态输入。

在此示例中选择like运算符，比如说过滤冰蝎相关的安全事件。输入完表达式下方没有出现红色虚线代表表达式语法正确。

这样子就完成一次专家模式使用SPL表达式精确检索展示，SPL表达式之间允许通过and或者or条件进行多条件查询。如and表示同时满足左右两个条件，or表示满足左右两个条件中至少一个。