Per creare una query, segui questi passaggi:
- Sulla Seqrite Portale XDR, fai clic sulla pagina Threat Hunting nel riquadro di navigazione a sinistra. La scheda Threat Hunting è evidenziata con un quadrato giallo. Puoi cercare direttamente utilizzando i parametri di ricerca appropriati o creare una nuova query utilizzando il generatore di query.
- Fai clic sul pulsante Aggiungi + per aggiungere i valori del filtro. Viene visualizzata la finestra di dialogo Filtri.
- Nella casella di testo Cerca, fai clic e seleziona uno dei filtri visualizzati.
- Inserisci il valore del filtro che vuoi usare nella query di ricerca. Ad esempio, Nome. Il filtro è selezionato e visualizzato nella casella Cerca, inserisci un valore per l'indicatore. Ad esempio, aggiungeremo Nome: Powershell.exe
- Clicchi Aggiungi + per aggiungere l'IOC selezionato e il valore di ricerca. Il valore viene selezionato e visualizzato in Filtri selezionati.
- Fai clic nella casella Cerca e ripeti i passaggi precedenti per aggiungere altri valori IOC per la query di ricerca. Ad esempio, e indirizzo IP IP:”202.145.202.114”.
- Aggiungere altro IOC se necessario. Per rimuovere un filtro particolare, fare clic sul segno x corrispondente per quel valore.
- Clicchi APPLICA per applicare i criteri di ricerca.
- Una volta terminato di aggiungere i filtri e i loro valori, fai clic su Salva query. La query viene salvata con timestamp e spostata in Query salvate scheda.
- Inserisci un nome per la query nella colonna Nome query (evidenziato nella casella gialla). Ad esempio, Powershell+IP, e fai clic su SalvaViene visualizzato un messaggio di conferma e la query viene salvata.