ESET PROTECT – Содержание

Расширенный поиск

Раздел Расширенный поиск Расширенный поиск позволяет проводить углубленное исследование индикаторов данных Open XDR и предоставляет стандартные возможности, такие как поиск, создание запросов и списков.

Предупреждение

Обратите внимание, что данные расширенного поиска недоступны для пользователей ESET PROTECT с настраиваемыми разрешениями, назначенными в неправильно настроенных компаниях. Для пользователей с настраиваемыми разрешениями, назначенными в правильно настроенных компаниях, данные этих компаний доступны в разделе «Расширенный поиск».

Примечание

Данные Open XDR доступны с компьютеров, на которых работает агент ESET Management версии 13.0+ и ESET Inspect Connector 3.0+.

Узнайте больше об объединении ESET Inspect и ESET PROTECT (Open XDR).

Раздел «Расширенный поиск»

Ниже описаны компоненты главной страницы.

Фильтр запросов

Введите запрос Lucene или полный текст для поиска.

arrow_down_businessЯзык запросов

Фильтр дат

Используйте фильтр дат, чтобы ограничить результаты определенным периодом времени для целенаправленного исследования.

1.Щелкните значок календаря и выберите в раскрывающемся меню Один раз или Временной диапазон:

Один раз — щелкните поле Выберите дату, чтобы выбрать предварительно заданный относительный диапазон (Последние 15 минут, Последние 30 минут, Последний час, Последние 24 часа, Последние 7 дней, Последние 14 дней, Последний месяц), или укажите собственный относительный диапазон с помощью опций Выберите направление, Введите сумму и Выберите единицу.

Временной диапазон — щелкните элементы Дата начала и Дата окончания и выберите для них вариант Относительное или Абсолютное (точные даты/время).

2.Щелкните Запустить, чтобы применить фильтр и обновить результаты.

Панель фильтра

Вы можете фильтровать по определенным полям и значениям данных Open XDR. Щелкните Добавить фильтр или где-либо в панели фильтра, чтобы выбрать поле и установить его значение.

1.Выберите в списке поле «Данные Open XDR». В поле фильтра введите поисковый запрос или выберите элементы в раскрывающемся меню.

2.В некоторых фильтрах можно выбрать оператор, щелкнув значок оператора рядом с именем фильтра (доступность операторов зависит от типа фильтра):

равно Равно или Содержит

Не равно Не равно или Не содержит

Больше или равно Больше или равно

Меньше или равно Меньше или равно

3.Нажмите клавишу ВВОД. Активные фильтры выделены синим цветом.

Доступна фильтрация по серьезности с помощью фильтра на основе значков eset.severity. Можно использовать комбинацию значков — Высокий уровень критичности Высокая, Средний уровень критичности Средняя, Низкий уровень критичности Низкая, — включая и отключая их. Например, чтобы отобразить только события со средней серьезностью, оставьте выбранным лишь желтый значок Средний уровень критичности (остальные значки отключите). Чтобы отобразить события и средней Средний уровень критичности, и высокой Высокий уровень критичности серьезности, оставьте включенными только эти два значка.

Фильтры можно хранить в пользовательском профиле для повторного использования впоследствии. Щелкните значок Предустановки Предустановки, чтобы управлять наборами фильтров:

Наборы фильтров

Сохраненные вами фильтры. Выберите один из них, чтобы применить. Примененный фильтр обозначается Применено галочкой.

Сохранить набор фильтров. Сохранить набор фильтров

Создание новой предустановки на основе текущей конфигурации фильтра. Как только предустановка сохранена, дальнейшее ее редактирование невозможно. Выберите Включить временной диапазон и столбцы в этот шаблон, чтобы сохранить временной диапазон и видимость столбцов в предустановке.

Управление наборами фильтров Управление наборами фильтров

Удаление или переименование существующих предустановок. Нажмите Сохранить, чтобы применить изменения к предустановкам.

Очистить значения фильтра Очистить значения фильтра

Щелкните, чтобы удалить только текущие значения из всех полей фильтра на панели фильтрации. Сохраненные предустановки не меняются.

Удалить фильтры Удалить фильтры

Щелкните, чтобы удалить все поля фильтра на панели фильтра. Сохраненные предустановки не меняются.

Удалить неиспользуемые фильтры Удалить неиспользуемые фильтры

Удаление пустых полей фильтра на панели фильтра. Сохраненные предустановки не меняются.

Сбросить фильтры по умолчанию Сбросить фильтры по умолчанию

Сброс панели фильтров и отображение фильтров по умолчанию. Сохраненные предустановки не меняются.

Результаты

Визуализация результатов представлена в гистограмме, которая показывает количество срабатываний по агрегированным временным интервалам для отфильтрованных в данный момент событий.

Щелкните линию, чтобы подробно изучить события для конкретного интервала. Фильтр времени и даты изменится в соответствии с временем начала и окончания данной линии, и результаты обновятся автоматически.

Щелкните и перетащите курсор по гистограмме, чтобы выбрать непрерывный диапазон интервалов. Фильтр времени и даты изменится в соответствии с этим диапазоном, и результаты обновятся автоматически.

Таблица индикаторов

В таблице индикаторов отображаются индикаторы, соответствующие поисковому запросу и активным фильтрам. Щелкните значок шестеренки Шестеренка в заголовке столбца, чтобы получить доступ к действиям таблицы.

Выберите любое из действий: Изменить столбцы — сортировка значений в столбце. Позволяет использовать мастер, чтобы выполнять действия (Добавитьдобавить, Удалитьудалить, Переместить внизПереместить вверхизменить порядок) с отображаемыми столбцами. Расположение столбцов также можно изменить путем перетаскивания. Щелкните Сброс, чтобы сбросить столбцы таблицы в состояние по умолчанию (доступные по умолчанию столбцы в порядке по умолчанию). Автоподбор размера столбцов — автоматическая регулировка ширины столбцов для соответствия содержимому. Показать относительное время/Показать абсолютное время — выбор относительных (например, 5 минут назад) или абсолютных меток времени.

Сортировка таблицы Сброс сортировки — очистка всех примененных настроек сортировки.

Загрузить как CSV (только табличные данные) — экспорт до 500 первых результатов табличных данных в формате CSV.

Боковая панель «Индикатор»

Щелкните любую строку, чтобы отобразить подробное представление выбранного индикатора на боковой панели. Вы можете щелкнуть Просмотр сведений, чтобы открыть вкладку нового окна с общими сведениями об индикаторе (доступна также в разделе Инциденты).

Боковая панель «Индикатор» в расширенном поиске

Обзор — сведения различаются в зависимости от типа индикатора. Цвет панели соответствует уровню серьезности: синий — низкая серьезность, желтый — средняя серьезность и красный — высокая серьезность.

oВы можете ввести текст в строке поиска, чтобы выполнить фильтрацию по именам полей и их значениям.

oМожно нажать кнопку с тремя точками Дополнительно или щелкнуть в любом месте строки атрибутов, чтобы выполнить фильтрацию с включением или фильтрацию с исключением для конкретного атрибута, или щелкнуть Добавить столбец для добавления выбранного поля в качестве столбца таблицы.

oПодробное объяснение можно найти в разделе Формат данных Open XDR.

JSON — структурированное представление индикатора в формате JSON. Щелкните Скопировать в буфер обмена, чтобы скопировать данные JSON.