Создание и выполнение запросов поиска угроз

Вы можете создавать запросы для поиска угроз в базе данных событий. Простой запрос – это условие поиска, состоящее из поля события, условия и значения. Запрос может содержать одно или несколько условий поиска.

Создание запросов

Вы можете выбрать один из следующих способов создания запроса:

• Введите условия поиска событий в поле поиска запроса.
• Выберите поля событий из предложенного списка полей на закладке Справка и добавьте условия и значения. Выбранные поля событий автоматически появятся в поле поиска запроса.

Для построения поисковых запросов используется определенный синтаксис. Например, вы можете добавить несколько условий, используя логические операторы OR и AND, а также скобки для создания групп условий.

Выполнение запросов

Чтобы выполнить запрос:

1. Установите временной интервал, чтобы найти события, произошедшие в течение определенного периода. По умолчанию таблица содержит события, произошедшие за последний час.

   Чтобы изменить временной интервал, нажмите на кнопку За час и выберите один из следующих временных интервалов:

   • За час, чтобы просмотреть события, обнаруженные за последний час.
   • За день, чтобы просмотреть события, обнаруженные за последние сутки.
   • За все время, чтобы просмотреть события, обнаруженные за все время.
   • Произвольный интервал, чтобы просмотреть события, обнаруженные в течение указанного промежутка времени.
2. Если вы выбрали вариант Произвольный интервал, выполните следующие действия:
   1. В открывшемся календаре укажите дату и время начала и окончания периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

3. Нажмите кнопку Применить интервал, чтобы сохранить указанный интервал времени.

   Окно для указания интервала времени закроется.

4. Нажмите на кнопку Выполнить запрос.

Отобразится список событий, удовлетворяющих условиям поиска. Автоматически откроется закладка События. Вы можете изменить запрос или сохранить его как пользовательское IOA-правило.