高级搜索
高级搜索部分支持对 Open XDR 数据指标的高级调查,并提供搜索、查询和列表等标准功能。
|
请注意,“高级搜索”数据不适用于在配置不当的公司中分配了自定义权限的 ESET PROTECT 用户。对于在正确配置的公司中分配了自定义权限的用户,他们可以在“高级搜索”部分获取这些公司的相关数据。 |
|
运行 ESET Management Agent 版本 13.0+ 和 ESET Inspect Connector 3.0+ 的计算机中提供 Open XDR 数据。 详细了解统一 ESET Inspect 和 ESET PROTECT (Open XDR) 的相关信息。 |
主页组件包括:
查询过滤器
键入 Lucene 查询或完整文本进行搜索。
日期过滤器
使用日期过滤器将结果限制在特定时段内以进行重点调查。
1.单击日历图标,从下拉菜单中选择单个时间或时间段:
•单个时间 - 单击选择日期字段可选择预定义的相对范围(过去 15 分钟、过去 30 分钟、过去一小时、过去 24 小时、过去 7 天、过去 14 天、上个月),或通过选择方向、输入金额和选择单位来定义自定义相对范围。
•时间段 - 单击开始日期和结束日期,将其指定为相对或绝对(具体日期/时间)。
2.单击运行以应用过滤器并更新结果。
过滤器面板
您可以按特定的 Open XDR 数据字段和值进行过滤。单击添加过滤器或单击进入过滤器面板,选择字段并设置其值。
1.从列表中选择一个 Open XDR 数据字段。在过滤器字段框中键入搜索词,或从下拉菜单中选择项。
2.在某些筛选器中,您可以通过单击筛选器名称旁边的运算符图标来选择运算符(可用的运算符取决于筛选器类型):
等于或包含
不等于或不包含
大于或等于
小于或等于
3.按 Enter。活动的过滤器以蓝色突出显示。
•您可以按严重级别使用基于图标的 eset.severity 过滤器进行过滤。您可以通过打开或关闭图标来组合使用它们 - 
高、
中等、
低。例如,若要仅查看中等严重级别的事件,则仅使 黄色图标保持选中状态(必须取消选中剩余图标)。要同时查看 中等严重级别和 高严重级别的事件,只需使这两个图标保持打开状态。
•可以将过滤器保存到您的用户配置文件,以便将来再次使用它们。单击 
预设图标以管理过滤器组:
过滤器组 |
您保存的过滤器,单击一个过滤器即可应用它。已应用的过滤器使用 |
|
从您的当前过滤器配置中创建一个新预设。在预设保存后,您将无法编辑该预设中的过滤器配置。选择在此模板中包含时间范围和列,以保存预设中的时间范围和列可见性。 |
|
删除或重命名现有预设。单击保存以将更改应用到预设。 |
|
单击可仅删除过滤器面板中所有过滤器字段的当前值。保存的预设将保持不变。 |
|
单击可删除过滤器面板中的所有过滤器字段。保存的预设将保持不变。 |
|
从过滤器面板中删除没有值的过滤器字段。保存的预设将保持不变。 |
|
重置过滤器面板并显示默认过滤器。保存的预设将保持不变。 |
结果
结果通过直方图呈现,显示当前过滤的事件在聚合时间间隔内的命中数。
•单击某个条形可深入了解该特定间隔的事件。时间/日期过滤器会更新到条形的开始和结束时间,结果会自动重新加载。
•单击并拖动直方图可选择连续的间隔范围。时间/日期过滤器会更新到该范围,结果会自动重新加载。
指标表
指标表会列出与搜索查询和活动过滤器匹配的指标。单击列标头中的 齿轮图标以访问表操作:
•选择任一操作:编辑列 - 对列中的值排序。 使用向导调整(
添加、
删除、
重新排序r)显示的列表。还可以使用拖放操作来调整各列。单击重置以将表格列重置为默认状态(按默认顺序的默认可用列)。 自动适应列 - 自动调整列宽以适应内容,显示相对时间/显示绝对时间 - 选择相对时间戳(例如 5 分钟前)或绝对时间戳。
•表排序重置排序 - 清除应用的全部排序设置。
•下载为CSV (仅表数据) - 将表数据中最多前 500 个结果导出为 CSV。
指标侧面板
点击任意行即可在侧面板中显示所选指标的详细视图。您可以单击查看详细信息,打开包含“指标详细信息概述”的新窗口标签页(也可通过事件进行访问)。
•概述 - 详细信息因指标类型而异。面板颜色反映严重级别:蓝色 - 低严重级别,黄色 - 中等严重级别,红色 - 高严重级别。
o您可以在搜索栏中键入内容以过滤字段名称及其值。
o您可以单击三点 
按钮或属性行中的任意位置,以过滤进入或过滤排除特定属性,或者单击添加列以添加选中的字段作为表列。
o请在 Open XDR 数据格式部分找到详细说明。
•JSON - 指标的结构化 JSON 视图。单击复制到剪贴板可复制 JSON。