Usando parâmetros de pesquisa de detecções
Você pode usar parâmetros de pesquisa de detecções que definem consultas mais complexas, que incluem lógica e outros operadores compatíveis com o armazenamento de logs especificado.
Exibir parâmetros de pesquisa de detecções
Função necessária: sn_sec_tisc.admin
Para exibir os parâmetros de pesquisa de detecções, execute as seguintes etapas:
- Navegar até .
- Na página Integrações, navegue até .
- Procure a integração para a qual você deseja exibir a Configuração de pesquisa de detecções e clique em Editar .
- Selecione Configurações de pesquisa de detecções .
Você pode exibir a lista de configurações de pesquisa de detecções.
- Clique na Configuração de pesquisa de detecções necessária para exibir os detalhes da configuração.
- Selecione Parâmetros de pesquisa de detecções .
Você pode exibir a lista de parâmetros de pesquisa de detecções.
- Clique no parâmetro de Pesquisa de detecções necessário para exibir os detalhes do parâmetro.
- Você também pode executar as seguintes ações na guia Parâmetros de pesquisa de detecções:
- Para atualizar a lista de parâmetros de pesquisa de detecções, clique em
ícone. - Para executar uma ação de lista nos parâmetros de pesquisa de detecções, clique em
ícone.Editar colunas : Você pode usar esta ação para adicionar ou remover colunas existentes e modificar a ordem de acordo com seus requisitos.
- Para filtrar os parâmetros de pesquisa de detecções com base nas condições, clique em
ícone.O valor 1 indica que uma condição é usada para a filtragem.
- Para atualizar a lista de parâmetros de pesquisa de detecções, clique em
Criar parâmetro de pesquisa de detecções
Exemplo de geração de consultaConfigured Query: ${Observable}
Observables Substitutes for Sightings search: Obs1 , Obs2
Query: {Before each Value}Obs1{After each Value}{Between each value}{Before each Value}Obs2{After each Value}
Let observables are: 172.32.31.41 & 192.168.10.12
Query Formed with below configuration will be: “ip_address = 172.32.31.41 OR ip_address = 192.168.10.12”Para criar um parâmetro de pesquisa de detecções, execute as seguintes etapas:
- Navegar até .
- Na página Integrações, navegue até .
- Procure a integração para a qual você deseja exibir a Configuração de pesquisa de detecções e clique em Editar .
- Selecione Configurações de pesquisa de detecções .
Você pode exibir a lista de configurações de pesquisa de detecções.
- Clique na Configuração de pesquisa de detecções necessária para exibir os detalhes da configuração.
- Selecione Parâmetros de pesquisa de detecções .
Você pode exibir a lista de parâmetros de pesquisa de detecções.
- Para criar um parâmetro de pesquisa de detecções, clique em Novo .
- No formulário, preencha os campos.
Tabela 1. Crie um parâmetro de pesquisa de detecções Campo Descrição Após cada valor O parâmetro de pesquisa de detecções após cada observável quando a consulta de pesquisa é gerada. Entre cada valor O parâmetro de pesquisa de detecções entre cada observável quando a consulta de pesquisa é gerada. Por exemplo, OU. Antes de cada valor O parâmetro de pesquisa de detecções antes de cada observável quando a consulta de pesquisa é gerada. Configuração Os detalhes da configuração do parâmetro de pesquisa. Tipo de observável Define o tipo de categoria do observável. Variável de substituição Especifica o nome da variável que é substituída por um valor observável. - Clique em Salvar.