Поиск событий в режиме исходного кода

Чтобы задать условия поиска событий в режиме исходного кода:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз, вкладку Редактор кода.

   Откроется форма с полем ввода условий поиска событий в режиме исходного кода.

2. Введите условия поиска событий, используя критерии, операторы, логические операторы OR и AND, а также скобки для создания групп условий.

   Условие поиска должно соответствовать следующему синтаксису: <критерий> <оператор> <значение критерия>.

   Пример: EventType = "filechange" AND ( FileName CONTAINS "example" OR UserName = "example" )

3. Если вы хотите скрыть специальные символы разделителей строк в окне редактирования, нажмите на кнопку Перевести спецсимволы в переносы строк . Если вы хотите отобразить специальные символы разделителей строк, нажмите на кнопку Перевести переносы строк в спецсимволы .

   При использовании сложного условия поиска, состоящего из нескольких значений критерия, каждое значение критерия должно находиться на новой строке в окне редактирования исходного кода. Для отображения переноса на новую строку в Kaspersky Anti Targeted Attack Platform используются специальные символы разделителей строк (^r ^n). Вам необходимо контролировать правильность расстановки специальных символов разделителей строк для выполнения корректного поиска событий.

4. Если вы хотите выполнить поиск событий за определенный период, нажмите на кнопку За все время и выберите один из следующих периодов поиска событий:
   • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
   • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
   • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
   • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
5. Если вы выбрали Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

6. Нажмите на кнопку Найти.

   Отобразится таблица событий, соответствующих условиям поиска.

   Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

   

   Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

   

   Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

7. Нажмите на имя того сервера, события по которому вы хотите просмотреть.

   Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.