Kaspersky Anti Targeted Attack (KATA) Platform

Поиск событий в режиме конструктора

14 мая 2024

ID 247638

Чтобы задать условия поиска событий в режиме конструктора:

  1. В окне веб-интерфейса приложения выберите раздел Поиск угроз, закладку Конструктор.

    Откроется форма поиска событий.

  2. В раскрывающемся списке выберите критерий для поиска событий.

    Вы можете посмотреть описание критериев для поиска событий в разделе Критерии для поиска событий.

  3. В раскрывающемся списке выберите оператор.

    Вы можете посмотреть список доступных операторов в разделе Операторы.

    Для каждого типа значения поля будет доступен свой релевантный набор операторов. Например, при выборе типа значения поля EventType будут доступны операторы = и !=.

  4. В зависимости от выбранного типа значения поля выполните одно из следующих действий:
    • Укажите в поле один или несколько символов, по которым вы хотите выполнить поиск событий.
    • В раскрывающемся списке выберите вариант значения поля, по которому вы хотите выполнить поиск событий.

    Например, для поиска полного совпадения по имени пользователя введите имя пользователя.

  5. Если вы хотите добавить новое условие, используйте логический оператор AND или OR и повторите действия по добавлению условия.
  6. Если вы хотите добавить группу условий, нажмите на кнопку Group и повторите действия по добавлению условий.
  7. Если вы хотите удалить группу условий, нажмите на кнопку Remove group.
  8. Если вы хотите выполнить поиск событий за определенный период, в раскрывающемся списке За все время выберите один из следующих периодов поиска событий:
    • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
    • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
    • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
    • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
  9. Если вы выбрали Пользовательский диапазон, выполните следующие действия:
    1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
    2. Нажмите на кнопку Применить.

    Календарь закроется.

  10. Нажмите на кнопку Найти.

    Отобразится таблица событий, соответствующих условиям поиска.

    Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

  11. Нажмите на имя того сервера, события которого вы хотите просмотреть.

Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

См. также

Поиск угроз по базе событий

Поиск событий в режиме исходного кода

Сортировка событий в таблице

Изменение условий поиска событий

Поиск событий по результатам их обработки в приложениях EPP

Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле

Создание правила TAA (IOA) на основе условий поиска событий

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!