技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

对于安全人员:应用程序 Web 界面使用入门

事件数据库威胁追踪

在源代码模式下搜索事件
Kaspersky Anti Targeted Attack (KATA) Platform
Online Help
Advice & Solutions FAQ Download Forum Contact support

在源代码模式下搜索事件

2024年6月26日

ID 247637

另存为 PDF

在源代码模式下定义事件搜索条件:

  1. 在应用程序 Web 界面窗口中,选择威胁搜索部分,源代码选项卡。

    这将打开一个表单,其中包含用于在源代码模式下输入事件搜索条件的字段。

  2. 使用条件运算符、逻辑运算符 ORAND 以及分组条件的括号输入事件搜索条件。

    搜索条件必须符合以下语法:<条件> <运算符> <条件值>

    示例:

    EventType = "filechange"

    AND (

    FileName CONTAINS "example"

    OR UserName = "example"

    )
  3. 如果要在编辑器窗口中隐藏换行特殊字符,请单击将特殊字符转换为换行符apt_icon_convert_characters。如果要显示换行符,请单击将换行符转换为特殊字符apt_icon_convert_lines

    当使用由多个条件值组成的复杂搜索条件时,在源代码编辑窗口中,每个条件值必须另起一行。为了显示换行,Kaspersky Anti Targeted Attack Platform 使用行分隔符特殊字符 (^r ^n)。若要正确执行事件搜索,必须确保行分隔符特殊字符排列正确。

  4. 如果您想搜索在特定时段内发生的事件,请单击任何时候按钮并选择以下某个事件搜索时段:
    • 任何时候,如果您希望表显示最早发现的记录的事件。
    • 上一个小时,如果您希望表格显示在最后一个小时内找到的事件。
    • 最后一天,如果您希望表格显示在最后一天内找到的事件。
    • 自定义范围,如果您希望表格显示在指定时段内找到的事件。
  5. 如果您选择了自定义范围:
    1. 在打开的日历中,指定事件显示范围的开始和结束日期。
    2. 单击应用

    日历关闭。

  6. 单击搜索

    满足搜索条件的事件表将显示。

    如果您使用分布式解决方案多租户模式,找到的事件将按层分组:服务器 – 租户名称 – 服务器名称。

  7. 单击要查看其事件的服务器的名称。

    所选服务器的主机表将显示。事件分组级别显示在表格上方。

另请参阅

事件数据库威胁追踪

在设计模式下搜索事件

对表中的事件进行排序

更改事件搜索条件

按 EPP 应用程序中的处理结果搜索事件

上传 IOC 文件并根据 IOC 文件中定义的条件搜索事件

根据事件搜索条件创建 TAA (IOA) 规则

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.