Поиск событий в режиме конструктора

Чтобы задать условия поиска событий в режиме конструктора, выполните следующие действия:

  1. В окне веб-интерфейса программы выберите раздел Поиск угроз, закладку Конструктор или Редактор кода.

    Откроется форма поиска событий.

  2. В раскрывающемся списке выберите критерий для поиска событий в одной из следующих групп:
    • Общие сведения.
    • Свойства TAA.
    • Свойства файла.
    • Процессы Linux.
    • Запущен процесс.
    • Удаленное соединение.
    • Изменение в реестре.
    • Журнал событий ОС.
    • Изменено имя хоста.
    • Обнаружение и результат обработки.
    • Интерактивный ввод команд в консоли.
    • Изменен файл.
  3. В раскрывающемся списке выберите один из следующих операторов сравнения:
    • =.
    • !=.
    • CONTAINS.
    • !CONTAINS.
    • STARTS.
    • !STARTS.
    • ENDS.
    • !ENDS.
    • >.
    • <.

    Для каждого типа значения поля будет доступен свой релевантный набор операторов сравнения. Например, при выборе типа значения поля EventType будут доступны операторы = и !=.

  4. В зависимости от выбранного типа значения поля выполните одно из следующих действий:
    • Укажите в поле один или несколько символов, по которым вы хотите выполнить поиск событий.
    • В раскрывающемся списке выберите вариант значения поля, по которому вы хотите выполнить поиск событий.

    Например, для поиска полного совпадения по имени пользователя введите имя пользователя.

  5. Если вы хотите добавить новое условие, используйте логический оператор AND или OR и повторите действия по добавлению условия.
  6. Если вы хотите добавить группу условий, нажмите на кнопку Group и повторите действия по добавлению условий.
  7. Если вы хотите удалить группу условий, нажмите на кнопку Remove group.
  8. Если вы хотите выполнить поиск событий за определенный период, в раскрывающемся списке За все время выберите один из следующих периодов поиска событий:
    • За все время, если вы хотите, чтобы программа отображала в таблице события, найденные за все время.
    • Прошедший час, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий час.
    • Прошедшие сутки, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий день.
    • Пользовательский диапазон, если вы хотите, чтобы программа отображала в таблице события, найденные за указанный вами период.
  9. Если вы выбрали Пользовательский диапазон, выполните следующие действия:
    1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
    2. Нажмите на кнопку Применить.

    Календарь закроется.

  10. Нажмите на кнопку Найти.

    Отобразится таблица событий, соответствующих условиям поиска.

    Если вы используете режим распределенного решения, отобразятся уровни группировки найденных событий: Сервер – Названия организаций – Имена серверов.

  11. Нажмите на имя того сервера, события которого вы хотите просмотреть.

Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

См. также

Поиск угроз по базе событий

Поиск событий в режиме исходного кода

Сортировка событий в таблице

Изменение условий поиска событий

Поиск событий по результатам их обработки в программах EPP

Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле

Создание пользовательского правила TAA (IOA) на основе условий поиска событий

В начало