Ansichten:

XDR-Daten-Explorer ermöglicht es Ihnen, Telemetriedaten und Erkennungen abzufragen.

  • Wählen Sie Datenquellen aus, um einen bestimmten Satz von Daten zu durchsuchen.
  • Stellen Sie sicher, dass die von Ihnen eingegebenen Zeichen genau mit den gewünschten Ergebnissen übereinstimmen.
  • Einige Felder zeigen ersetzte Texte für ID-Werte an und Sie können nicht nach dem Textwert suchen. Zum Beispiel speichert eventID den numerischen Wert 1 in der Datenbank, zeigt jedoch TELEMETRY_PROCESS in den Ergebnissen an. Sie können TELEMETRY_PROCESS nicht abfragen.
Die folgenden Tabellen beschreiben die Abfragesyntax und bieten Beispielzeichenfolgen:

Feldbasierte Syntax

Ziel
Beschreibung
Unterstützter Feldtyp
Syntax
Beispiel
Teilweise Übereinstimmung
Stellt alle Ergebnisse für das angegebene Feld bereit, die die Zeichenfolge enthalten
  • Zeichenfolge
  • Dynamisch
  • Int
  • Lang
Hinweis
Hinweis
Die Feldtypen int und long verwenden immer eine vollständige Übereinstimmung.
  • <field_name>: <search_string>
  • <field_name>: "*<search_string>*"
Hinweis
Hinweis
Um ein Sonderzeichen zu suchen oder zu umgehen, geben Sie "*<search_string>*" ein.
endpointName: windows
Gibt alle Ergebnisse zurück, die "windows" im Endpunktname enthalten
endpointName: *windows\/app*
Gibt alle Ergebnisse zurück, die "windows/app" im Endpunktname enthalten
Vollständige Übereinstimmung
Stellt alle Ergebnisse für das angegebene Feld bereit, die die genau angegebene Zeichenfolge enthalten
  • Zeichenfolge
  • Dynamisch
  • Int
  • Lang
  • Bool
Hinweis
Hinweis
Der dynamische Feldtyp stimmt teilweise mit jedem Element überein.
<field_name>: "<search_string>"
endpointName: "john_doe"
Gibt nur Ergebnisse zurück, bei denen der Endpunktname "john_doe" ist
Platzhalter
Bietet Ergebnisse, die den Feldwerten entsprechen und die folgenden Platzhalterzeichen ersetzen:
  • *: Wird als Ersatz für ein oder mehrere Zeichen an der angegebenen Stelle verwendet
Wichtig
Wichtig
Platzhalter werden für Network Activity Data IP-Adressen nicht unterstützt.
  • Zeichenfolge
  • Dynamisch
Hinweis
Hinweis
Der dynamische Feldtyp wandelt das gesamte Objekt in einen String um, bevor eine Platzhaltersuche durchgeführt wird. Die Verwendung von Platzhaltern im dynamischen Typ führt zu weniger Ergebnissen und verringert die Abfrageleistung.
<field_name>: <search_string>*
endpointName: "john*"
Gibt alle Ergebnisse zurück, die "john" als die ersten 4 Zeichen im Endpunktnamen enthalten
Beispielergebnisse: "john", "john_doe", "johndoe", "johnd"
Bereichsoperator
Bietet alle Ergebnisse, die den für mehrere Felder angegebenen Anforderungen entsprechen, unter Verwendung der folgenden Operatoren:
  • >
  • <
  • >=
  • <=
  • Int
  • Lang
<field_name> <range_operator> <number>
"dpt >= 80" AND "dpt <= 443"
Gibt nur Ergebnisse zurück, bei denen die Protokolldaten Ganzzahlen in einem Bereich von größer oder gleich 80 bis kleiner oder gleich 443 enthalten
Regex
Gibt alle Einträge zurück, bei denen der reguläre Ausdruck mit einem beliebigen Teil (Anfang, Mitte oder Ende) des Feldinhalts übereinstimmt.
Für weitere Informationen gehen Sie zu Verwenden Sie Regex in Abfragen.
  • Zeichenfolge
<field_name>: /<search_string>/
endpointHostName: /\\w*(trend|trendmicro)\.com/

Freie Abfragesyntax

Ziel
Beschreibung
Syntax
Beispiel
Teilweise Übereinstimmung
Bietet alle Ergebnisse, die die Zeichenfolge in einem beliebigen Datenfeld enthalten.
Hinweis
Hinweis
Kostenlose Abfragen werden für Network Activity Data nicht unterstützt.
  • "search_string"
  • search_string
Hinweis
Hinweis
Verwenden Sie die feldbasierte Syntax, um Zahlen und Boolesche Feldtypen abzufragen.
"john"
Gibt alle Ergebnisse zurück, die die Zeichenfolge john in einem beliebigen Datenfeld enthalten
Vollständige Übereinstimmung
Nicht verfügbar
-
-

Logische Operatoren und Sonderzeichen

Operator-Typ
Beschreibung
 Unterstützte Typen
Syntax
Beispiel
Mehrere Felder
Bietet alle Ergebnisse, die den für mehrere Felder angegebenen Anforderungen entsprechen, unter Verwendung der folgenden Operatoren:
  • AND
  • OR
  • NOT
Hinweis
Hinweis
Die Abfrageleistung verringert sich bei Verwendung mehrerer logischer Operatoren.
  • Feldbasiert
  • Kostenlose Abfrage
<field_name>: <search_string1> OPERATOR <field_name>:<search_string2>
Hinweis
Hinweis
Sonderzeichen mit einem Backslash (\) für Teilübereinstimmung, vollständige Übereinstimmung und Platzhaltersuche maskieren:
  • Ohne doppelte Anführungszeichen: \():<>"{}
  • Innerhalb von Anführungszeichen: "\", "\\"
  • "*" wird nicht unterstützt und wird maskiert
endpointName: "john_doe" AND fileName: "credit"
Gibt nur Ergebnisse zurück, bei denen die Protokolldaten sowohl "john_doe" als auch "credit" in einem beliebigen Feld enthalten (Beispiel: objectUser=john_doe2; fileName=creditcard.txt)
"john_doe" AND NOT "home"
Gibt nur Ergebnisse zurück, bei denen die Protokolldaten "john_doe" enthalten, aber in keinem Feld "home" enthalten ist
Mehrere Werte
Bietet alle Ergebnisse, die den für mehrere Werte angegebenen Anforderungen entsprechen, unter Verwendung der folgenden Operatoren:
  • AND
  • OR
  • NOT
  • Feldbasiert
  • Kostenlose Abfrage
<field_name>: <search_string1> OPERATOR <search_string2>
endpointName:"john_doe" OR "jane_doe"
Gibt Ergebnisse zurück, bei denen der Endpunktname "john_doe" oder "jane_doe" ist
IN
Stellt alle Ergebnisse bereit, die bestimmte im Suchbegriff enthaltene Werte umfassen.
  • Zeichenfolge
  • Zahlenfelder
<search_field> IN (<number1>, <number2>)
<search_field> IN ("<string1>", "<string2>")
port IN (80, 443, 5376)
endpointHostName IN (“endpoint-name-1“, “endpoint-name-2“, “endpoint-name-3“)
Verschachtelte Wertübereinstimmung
Bietet alle Ergebnisse, die einem JSON-Objekt entsprechen, das ein weiteres JSON-Objekt als verschachtelte Struktur enthält.
Wichtig
Wichtig
Verschachtelte Werte müssen eine Zeichenfolge, eine Zahl oder ein Objekt sein, um Ergebnisse zurückzugeben.
Dynamische Felder
<outer_field>.<nested_field_1>.<nested_field_2>....<nested_field_n>: <search_value>
vendorParsed.act: *
vendorParsed.foo: "bar"
Gibt Ergebnisse zurück, bei denen Drittanbieterprotokolle in der vendorParsed-Feld auf eine Ebene reduziert werden

Token-basierte Abfragesyntax (Teilübereinstimmung)

Kriterien
(Beispiel: "Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com john\trend\project\abc.txt")
Ergebnisse zurückgeben
<field_name>: Trend
Hinweis
Hinweis
Token-basierte Abfragen verwenden eine Teilübereinstimmung. Standardmäßig zerlegt der XDR-Daten-Explorer jeden Zeichenfolgenwert in Sequenzen alphanumerischer Zeichen, die als Tokens bezeichnet werden. Tokens bestehen aus drei oder mehr alphanumerischen Zeichen. Sie können Teilübereinstimmungen sowohl in feldbasierten als auch in freien Abfragen verwenden.
Ja
<field_name>: TREND
Ja
<field_name>: "*Trend*"
Ja
<field_name>: Tre
Hinweis
Hinweis
Das Ergebnis vergleicht nur das vollständige Token. Ein Token in den Abfragekriterien mit weniger als drei Zeichen verringert die Leistung.
No
<field_name>: Trend_Mic
No
<field_name>: Micro
Ja
<field_name>: Trend_Micro
Ja
<field_name>: TREND_MICRO
Ja
<field_name>: Trend_
Ja
<field_name>: e91fe
No
<field_name>: fa73ad07
Ja
<field_name>: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04
Ja
<field_name>: john_doe@trendmicro.com
Ja
<field_name>: Trend_Micro-Vision-One\: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com john\\trend\\project\\abc.txt
Ja
<field_name>: Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com john\trend\project\abc.txt
No
<field_name>: "*Trend_Micro-Vision-One\: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com john\\trend\\project\\abc.txt*"
No
<field_name>: "*Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com john\\trend\\project\\abc.txt*"
Ja
<field_name>: "*john\\trend\\project\\abc.txt*"
Ja

Wildcard-Abfragen

Kategorie
Beschreibung
Beispiel
Token-basierte Abfrage
Unterscheidung Groß-/Kleinschreibung
Beginnen Sie mit
Hinweis
Hinweis
Wildcard-Abfragen für die Kategorien Start with, End with und MISC in dynamischen Feldern verringern die Abfrageleistung.
Ein Sternchen (*) befindet sich am Ende der Zeichenfolge.
Trend*
No
No
Ende mit
Ein Sternchen (*) steht am Anfang der Zeichenkette.
*Micro
No
No
Enthalten
Ein Sternchen (*) steht am Anfang und am Ende der Zeichenkette.
Hinweis
Hinweis
Enthalten-Kategoriewildcard-Abfragen verwendenTeilübereinstimmung.
*Vision*
Ja
No
Verschiedenes.
Es befinden sich ein oder mehrere Sternchen (*) in der Mitte der Zeichenkette.
Hinweis
Hinweis
  • Das Übereinstimmungsmuster kann in der Mitte des Zeichenfolgenwerts liegen: "Tre*d" stimmt mit dem Wert "HelloTrendMicro" überein.
  • Tr*nd
  • **Micro
  • *Vis*ion*
  • One**
No
Ja
Abfragekriterien
(Beispiel: "Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com")
Kategorie
Beschreibung
Ergebnisse zurückgeben
<field_name>: "Trend*"
Start with
Findet die Werte, die mit "Trend" beginnen.
Ja
<field_name>: "trend*"
Start with
Findet die Werte, die mit "trend" beginnen.
Ja
<field_name>: "*trendmicro.com"
End with
Findet die Werte, die mit "trendmicro.com" enden.
Ja
<field_name>: "*TRENDMICRO.COM"
End with
Findet die Werte, die mit "TRENDMICRO.COM" enden.
Ja
<field_name>: "*Trend_Micro*"
Contain
Findet die Werte, die "Trend_Micro" enthalten.
Ja
<field_name>: "*trend_micro*"
Contain
Findet die Werte, die "trend_micro" enthalten.
Ja
<field_name>: "Trend*com"
MISC.
Findet die Werte, die "Trend" am Anfang und "com" am Ende des Strings haben.
Ja
<field_name>: "Tre*"
Start with
Findet die Werte, die mit "Tre" beginnen.
Ja
<field_name>: "*micro.com"
End with
Findet die Werte, die mit "micro.com" enden.
Ja
<field_name>: "*fa73ad07*e91fedaf4a04*"
MISC.
Findet die Werte, die mit "*fa73ad07*e91fedaf4a04*" übereinstimmen.
Ja
<field_name>: "fa73ad07*e91fedaf4a04"
MISC.
Findet die Werte, die mit "fa73ad07*e91fedaf4a04" übereinstimmen.
Ja
<field_name>: "fa73ad07*"
Start with
Findet die Werte, die mit "fa73ad07" beginnen.
"fa73ad07" ist der Beginn eines Tokens, aber nicht der Beginn des gesamten Strings, daher stimmt das Ergebnis nicht überein.
No
<field_name>: "fa73ad07**"
MISC.
Findet die Werte, die mit "fa73ad07**" übereinstimmen.
Da sich ein "*" in der Mitte der Zeichenfolge befindet, handelt es sich um eine MISC. Platzhaltersuche.
Der MISC.-Platzhalter sucht nach Ergebnissen, selbst in der Mitte der Zeichenkette.
Ja
<field_name>: "*Vision-One"
End with
Findet die Werte, die mit "Vision-One" enden.
"Vision-One" ist das Ende eines Tokens, aber nicht das Ende der gesamten Zeichenfolge, daher stimmt das Ergebnis nicht überein.
No
<field_name>: "**Vision-One"
MISC.
Findet die Werte, die mit "**Vision-One" übereinstimmen.
Da sich ein "*" in der Mitte der Zeichenfolge befindet, handelt es sich um eine MISC. Platzhaltersuche.
Der MISC.-Platzhalter sucht nach Ergebnissen, selbst in der Mitte der Zeichenkette.
Ja
<field_name>: "**vision-one"
MISC.
Findet die Werte, die mit "**vision-one" übereinstimmen.
MISC. Platzhaltersuche ist groß- und kleinschreibungssensitiv, daher stimmt "vision-one" nicht mit "Vision-One" überein.
No
<field_name>: "*Visio*"
Contain
Findet die Werte, die "Visio" enthalten.
"Visio" ist kein Token in der Zeichenkette, daher stimmt das Ergebnis nicht überein.
No
<field_name>: "VISION*COM"
MISC.
Findet die Werte, die am Anfang "VISION" und am Ende des Strings "COM" haben.
MISC. Die Platzhaltersuche ist groß- und kleinschreibungssensitiv, daher stimmt "vision" nicht mit "Vision" überein.
No

Abfragefilter

Aktion
Beschreibung
Unterstützte Feldtypen
Filter hinzufügen: Feld IST Wert
Fügt den ausgewählten Wert als Kriterium zur bestehenden Abfrage hinzu.
  • Zeichenfolge
  • Dynamisch
  • Int
  • Lang
Hinweis
Hinweis
Der dynamische Typ passt teilweise zu jedem Element.
Filter hinzufügen: Feld IST NICHT Wert
Fügt den ausgewählten Wert als Ausnahme zur bestehenden Abfrage hinzu.
  • Zeichenfolge
  • Dynamisch
  • Int
  • Lang
Hinweis
Hinweis
Der dynamische Typ entfernt alle Ergebnisse, die nur teilweise übereinstimmen.
Filter hinzufügen: Feld IST LEER
Fügt das ausgewählte Feld ohne Wert als Kriterium zur bestehenden Abfrage hinzu.
  • Zeichenfolge
  • Dynamisch
  • Int
  • Lang
Filter hinzufügen: Feld EXISTIERT
Fügt das ausgewählte Feld mit einem beliebigen Wert als Kriterium zur bestehenden Abfrage hinzu.
  • Zeichenfolge
  • Dynamisch
  • Int
  • Lang
Filter hinzufügen: Feld EXISTIERT NICHT
Fügt das ausgewählte Feld ohne Wert als Kriterium zur bestehenden Abfrage hinzu.
  • Zeichenfolge
  • Dynamisch
  • Int
  • Lang

Logische Operatorenpriorität

Vorrang
Operator
Beschreibung
Beispiel
1
( )
Logische Ausdrücke gruppieren
Ereignisse zurückgeben, die Port 80, 81 oder 82 enthalten
port: (80 OR 81 OR 82)
2
NOT
Logisches NICHT
Geben Sie Ereignisse zurück, die Port 80 nicht enthalten
NOT port: 80
3
AND
Logisches UND
Hinweis
Hinweis
Der UND-Operator hat eine höhere Priorität als ODER, aber die Priorität kann durch Gruppierung der Operatoren in Klammern außer Kraft gesetzt werden. Die folgenden zwei Abfragen sind gleichwertig:
  • port: 80 OR port: 81 AND endpointHostname: "john"
  • port: 80 OR (port: 81 AND endpointHostname: "john")
4
OR
Logisches ODER

Escape-Operatoren und -Zeichen

Kategorie Operator oder Zeichen Übereinstimmungstyp und Beispiel
Schlüsselwort
  • AND
  • OR
  • NOT
Teilweise Übereinstimmung
  • ruleName: Engine \AND analyzed
Sonderzeichen
  • \
  • (
  • )
  • :
  • <
  • >
  • "
  • *
  • {
  • }
Teilweise Übereinstimmung
  • processCmd: C\:
Vollständiges Übereinstimmungsschlüsselwort
  • "
  • \
Vollständige Übereinstimmung
  • objectCmd: "*hang\""
Regex-Schlüsselwort
  • \
  • /
Regex-Übereinstimmung
  • filePath: /\/etc\/pwd\/config\/aaa/
Leerzeichen
  • \t
  • \r
  • \n
Teilweise Übereinstimmung
  • objectRegistryData: *\\t**
Regex-Übereinstimmung
  • filePath: /\windows\system\\temp/
Zugehörige Informationen