Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле

Чтобы загрузить IOC-файл и искать события по условиям, заданным в этом IOC-файле, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Поиск угроз.

   Откроется форма поиска событий.

2. Нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите IOC-файл, который хотите загрузить, и нажмите на кнопку Открыть.

   IOC-файл загрузится.

   На закладке Редактор кода в форме с условиями поиска событий отобразятся условия, заданные в загруженном IOC-файле.

   Вы можете искать события по этим условиям. Вы также можете изменить условия, заданные в загруженном IOC-файле, или добавить условия поиска событий в режиме исходного кода.

4. Если вы хотите выполнить поиск событий за определенный период, нажмите на кнопку За все время и выберите один из следующих периодов поиска событий:
   • За все время, если вы хотите, чтобы программа отображала в таблице события, найденные за все время.
   • Прошедший час, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий час.
   • Прошедшие сутки, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий день.
   • Пользовательский диапазон, если вы хотите, чтобы программа отображала в таблице события, найденные за указанный вами период.
5. Если вы выбрали период отображения найденных событий Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

6. Нажмите на кнопку Найти.

   Отобразятся уровни группировки найденных событий: Все серверы – Названия организаций – Имена серверов.

7. Нажмите на имя того сервера, события по которому вы хотите просмотреть.

   Откроется таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей. Таблица хостов содержит следующую информацию:

   • Хост – имя хоста, на котором обнаружены события.
   • Количество событий – количество событий, обнаруженных на этом хосте.
   • Первое событие – дата и время, в которое на этом хосте обнаружено первое событие.
   • Все серверы – дата и время, в которое на этом хосте обнаружено последнее событие.
8. Выберите хост, события по которому вы хотите просмотреть.

   Откроется таблица событий, соответствующих заданным вами условиям поиска. Уровни группировки событий отобразятся над таблицей.

   Вы можете вернуться к окну выбора хоста по ссылке с названием организации и именем сервера или вернуться к выбору организации и сервера по ссылке Все серверы.

См. также Поиск угроз по базе событий Поиск событий с помощью режима конструктора Поиск событий с помощью режима исходного кода Изменение условий поиска событий Создание IOA-правила на основе условий поиска событий

В начало