È possibile creare una nuova query con gli indicatori richiesti e applicare la query per ottenere risultati oppure è possibile utilizzare query salvate in precedenza per cercare minacce nell' Seqrite Banca dati XDR.
- Sulla Seqrite Portale XDR, fare clic sulla pagina Threat Hunting nel riquadro di navigazione a sinistra.
- Clicchi Aggiungi +Viene visualizzata la finestra di dialogo del filtro delle query.
- Crea una nuova query o fai clic su Query salvate scheda per visualizzare il Query salvate e seleziona la query che vuoi eseguire. Per questo esempio, clicchiamo sulla scheda Saved Queries e selezioniamo la prima query nell'elenco.
- Clicchi Aggiungi filtri, per aggiungere/modificare e filtrare la query selezionata.
- Come risultato dell'azione precedente, vengono visualizzati alcuni filtri indicatori. Aggiungere o rimuovere i filtri indicatori come richiesto.
- Clicchi APPLICA per eseguire la query finale. I risultati vengono visualizzati in modalità Canvas con i nodi host corrispondenti evidenziati in blu sul canvas.
Nel riquadro di destra vengono visualizzati i processi corrispondenti alla query.
- Per ottenere maggiori informazioni su un host specifico, clicca sul nodo Host. Ogni piccolo punto o nodo rappresenta un endpoint host.
I dettagli degli avvisi e i dettagli dei processi per quell'host vengono visualizzati in una piccola casella con il numero di processi e avvisi. In alternativa, puoi fare clic sulla voce corrispondente nel riquadro di destra per ottenere maggiori informazioni su quell'host.
Vengono visualizzate le seguenti informazioni sull'avviso selezionato:
- Nome host corrispondente
- Gravità dell'allerta
- Data e ora del file interessato
- Tipo di tattica di attacco
- Stato dell'avviso aperto o chiuso
- Per visualizzare i dettagli del processo per quell'host, fare clic su Processo scheda nell'angolo in alto a destra. Vengono visualizzati i dettagli solo per i processi sull'host che corrispondono alla query.
- Per avviare l'indagine per un processo, fare clic sul processo specifico. L'utente viene indirizzato alla pagina di analisi Alert/Process da cui può avviare il flusso di lavoro dell'indagine.