Kaspersky Anti Targeted Attack (KATA) Platform

Поиск событий в режиме исходного кода

14 мая 2024

ID 247637

Чтобы задать условия поиска событий в режиме исходного кода:

  1. В окне веб-интерфейса приложения выберите раздел Поиск угроз, вкладку Редактор кода.

    Откроется форма с полем ввода условий поиска событий в режиме исходного кода.

  2. Введите условия поиска событий, используя критерии, операторы, логические операторы OR и AND, а также скобки для создания групп условий.

    Условие поиска должно соответствовать следующему синтаксису: <критерий> <оператор> <значение критерия>.

    Пример:

    EventType = "filechange"

    AND (

    FileName CONTAINS "example"

    OR UserName = "example"

    )

  3. Если вы хотите скрыть специальные символы разделителей строк в окне редактирования, нажмите на кнопку Перевести спецсимволы в переносы строк Apt_icon_convert_characters. Если вы хотите отобразить специальные символы разделителей строк, нажмите на кнопку Перевести переносы строк в спецсимволы Apt_icon_convert_lines.

    При использовании сложного условия поиска, состоящего из нескольких значений критерия, каждое значение критерия должно находиться на новой строке в окне редактирования исходного кода. Для отображения переноса на новую строку в Kaspersky Anti Targeted Attack Platform используются специальные символы разделителей строк (^r ^n). Вам необходимо контролировать правильность расстановки специальных символов разделителей строк для выполнения корректного поиска событий.

  4. Если вы хотите выполнить поиск событий за определенный период, нажмите на кнопку За все время и выберите один из следующих периодов поиска событий:
    • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
    • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
    • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
    • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
  5. Если вы выбрали Пользовательский диапазон, выполните следующие действия:
    1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
    2. Нажмите на кнопку Применить.

    Календарь закроется.

  6. Нажмите на кнопку Найти.

    Отобразится таблица событий, соответствующих условиям поиска.

    Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

  7. Нажмите на имя того сервера, события по которому вы хотите просмотреть.

    Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

См. также

Поиск угроз по базе событий

Поиск событий в режиме конструктора

Сортировка событий в таблице

Изменение условий поиска событий

Поиск событий по результатам их обработки в приложениях EPP

Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле

Создание правила TAA (IOA) на основе условий поиска событий

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!