ESET PROTECT – Зміст

Розширений пошук

Розділ Розширений пошук Розширений пошук дає змогу глибше аналізувати індикатори даних Open XDR і надає такі стандартні можливості, як пошук, створення запитів і відображення результатів.

Попередження

Зверніть увагу, що дані розширеного пошуку недоступні для користувачів ESET PROTECT зі спеціальними дозволами, які було призначено в неправильно налаштованих компаніях. Якщо компанії налаштовано правильно, такі користувачі отримуватимуть дані цих компаній у розділі "Розширений пошук".

Примітка

Дані Open XDR взято з комп’ютерів, на яких запущено ESET Management Agent версії 13.0+ і ESET Inspect Connector версії 3.0+.

Дізнайтеся більше про об’єднання ESET Inspect і ESET PROTECT (Open XDR).

Розділ "Розширений пошук"

Основні елементи сторінки зазначено нижче.

Фільтр запиту

Вводьте запит Lucene або повний текст для пошуку.

arrow_down_businessМова запиту

Фільтр за датою

Використовуйте фільтр за датою, щоб відображати результати за певний часовий проміжок для точнішого дослідження.

1.Для цього натисніть піктограму календаря й виберіть у розкривному меню Один раз або Часовий проміжок.

Один раз: натисніть поле Вибрати дату, щоб указати заздалегідь визначений відносний діапазон (Останні 15 хв, Останні 30 хв, Остання година, Останні 24 години, Останні 7 днів, Останні 14 днів, Останній місяць), або вкажіть власний відносний діапазон, натиснувши Вибрати напрямок, Ввести кількість і Вибрати одиницю.

Часовий проміжок: натисніть Дата початку й Дата завершення, щоб указати для них Відносне або Абсолютне (точне) значення дати/часу.

2.Натисніть Запустити, щоб застосувати фільтр і оновити результати.

Панель фільтрів

Ви можете фільтрувати результати за конкретними полями й значеннями даних Open XDR. Натисніть Додати фільтр або панель фільтрів, щоб вибрати поле й указати в ньому значення.

1.Виберіть поле "Дані Open XDR" зі списку. У полі фільтра введіть пошуковий запит або вкажіть пункти з розкривного меню.

2.У деяких фільтрах можна вибрати оператор, натиснувши піктограму оператора біля назви фільтра (доступні оператори залежать від типу фільтра):

дорівнює Дорівнює або Містить

Не дорівнює Не дорівнює або Не містить

Більше або дорівнює Більше або дорівнює

Менше або дорівнює Менше або дорівнює

3.Натисніть клавішу Enter. Активні фільтри виділені синім кольором.

Ви можете фільтрувати результати за рівнем критичності за допомогою фільтра eset.severity на основі піктограм. Для цього налаштуйте їх комбінацію, вмикаючи або вимикаючи потрібні піктограми: Високий рівень критичності Високий, Середній рівень критичності Середній, Низький рівень критичності Низький. Наприклад, щоб переглянути лише події середнього рівня критичності, виберіть тільки жовту піктограму Середній рівень критичності (вибір інших піктограм потрібно скасувати). Щоб переглянути події обох видів (середнього Середній рівень критичності і високого Високий рівень критичності рівня критичності), увімкніть лише ці дві піктограми.

Щоб повторно скористатися фільтрами в майбутньому, їх можна зберігати в профілі користувача. Натисніть піктограму Попередньо встановлені параметри Попередньо встановлені параметри, щоб керувати наборами фільтрів.

Набори фільтрів

Фільтри, які ви зберегли. Щоб застосувати, натисніть потрібний. Застосований фільтр позначається галочкою Застосовано.

Зберегти набір фільтрів. Зберегти набір фільтрів

Створіть нову заготовку на основі поточної конфігурації фільтра. Коли заготовка збережеться, її більше не можна буде редагувати. Виберіть Додати в цей шаблон часовий діапазон і стовпці, щоб зберегти часовий діапазон і представлення стовпців у заготовці.

Керування наборами фільтрів Керування наборами фільтрів

Видалення або перейменування наявних заготовок. Щоб застосувати зміни до заготовок, натисніть Зберегти.

Очистити значення фільтра Очистити значення фільтра

Натисніть, щоб видалити лише поточні значення з усіх полів фільтрів на панелі фільтрів. Збережені заготовки не змінюються.

Видалити фільтри Видалити фільтри

Натисніть, щоб видалити всі поля фільтрів із панелі фільтрів. Збережені заготовки не змінюються.

Видалити невикористані фільтри Видалити невикористані фільтри

Видаліть поля фільтрів без значень із панелі фільтрів. Збережені заготовки не змінюються.

Скинути фільтри за замовчуванням Скинути фільтри за замовчуванням

Скиньте панель фільтра та відновіть фільтри за замовчуванням. Збережені заготовки не змінюються.

Результати

Результати відображаються на гістограмі, що показує кількість збігів за згрупованими часовими проміжками для поточних відфільтрованих подій.

Щоб переглянути докладні дані за певний проміжок, натисніть відповідний стовпець. Фільтр часу/дати оновиться з урахуванням часу початку й завершення в стопці, а результати автоматично перезавантажаться.

Щоб вибрати неперервний діапазон проміжків, натисніть і перетягніть курсор на гістограмі. Фільтр часу/дати оновиться відповідно до цього діапазону, а результати автоматично перезавантажаться.

Таблиця індикаторів

Вона містить індикатори, які відповідають пошуковому запиту й активним фільтрам. Натисніть піктограму шестірні Шестерня у заголовку стовпця, щоб переглянути наведені нижче дії з таблицею.

У розділі Дії виберіть потрібну опцію. Редагувати стовпці: сортування значень у стовпці. Виконуйте дії (Додати додати, Видалити видалити, УнизУгору змінити порядок) з відображуваними стовпцями за допомогою майстра. Розташування стовпців можна також змінити їх перетягуванням. Натисніть Скинути, щоб скинути відображувані стовпці та їх порядок. Автодобір розмірів стовпців: автоматичне налаштування ширини стовпців відповідно до вмісту; Показати відносний час / Показати абсолютний час: вибір відносних (наприклад, 5 хвилин тому) або абсолютних часових міток.

Сортування таблиці Скинути сортування: скасування всіх застосованих налаштувань сортування.

Завантажити як CSV (тільки дані таблиці): експорт щонайбільше 500 перших рядків таблиці з результатами у форматі CSV.

Бічна панель індикаторів

Щоб відобразити докладне подання вибраного індикатора на бічній панелі, натисніть будь-який рядок. Ви можете натиснути Переглянути відомості, щоб відкрити вкладку в новому вікні з оглядом даних індикаторів (доступно також у розділі Інциденти).

Бічна панель індикаторів у розділі "Розширений пошук"

Огляд: доступні відомості залежать від типу індикатора. Колір панелі відображає рівень критичності: синій — низький, жовтий — середній і червоний — високий.

oЩоб відфільтрувати результати за назвами полів і їхніми значеннями, введіть дані в рядку пошуку.

oВи можете натиснути кнопку з трьома крапками Докладніше або будь-яке місце рядка атрибута, щоб вибрати дію Включити у фільтр чи Виключити з фільтра для відповідного атрибута або Додати стовпець, щоб додати вибране поле як стовпець таблиці.

oДетальне пояснення можна знайти в розділі Формат даних Open XDR.

JSON: перегляд індикатора в структурі JSON. Натисніть Копіювати в буфер обміну, щоб скопіювати JSON.