Các trường và thao tác được hỗ trợ cho tùy chọn Tìm kiếm Lịch sử

  • Created:
  • / Author: PACISOFT Help 7
Lượt xem: 594

Môi trường dữ liệu

  • McAfee MVISION EDR

Tóm tắt

Trường hỗ trợ

Name

Display Value

Artifacts
Device name DeviceName All
Process name ProcessName Process
Command line CommandLine Process
IP address IpAddress Network
Sha256 Sha256 File
MD5 MD5 File
Sha1 Sha1 File
All Events Default (Empty) All
Process ID ProcessID Process
Parent Process Name ParentProcessName Process
Parent Process ID ParentProcessID Process

Hàm được hỗ trợ:

  • And
  • Or

LƯU Ý:

  • Tên thiết bị có thể được kết hợp với bất kỳ trường nào khác bằng cách sử dụng Hàm logic “And”.
  • LƯU Ý: Đối với hệ thống có phiên bản ứng dụng khách MVISION EDR 3.3.x trở xuống, kết quả không xuất hiện trên trang tổng quan Tìm kiếm Lịch sử khi được tìm kiếm bằng Hàm logic “And” cho các tạo tác DeviceName và ProcessName.

Ví dụ: DeviceName = 7ws3342 AND ProcessName = cmd.exe

  • Không thể kết hợp CommandLine và IpAddress bằng cách sử dụng hàm logic “AND”, nhưng có thể được kết hợp bằng Hàm logic “OR”.
  • CommandLine và ProcessName có thể được kết hợp bằng cách sử dụng toán tử logic “AND”.
  • Khi bạn tham chiếu MD5, SHA-1 và SHA-256, nó ngụ ý hàm Hashes tương ứng với tệp.
  • Khi bạn tham chiếu địa chỉ IP, nó ngụ ý địa chỉ đích.

Trường hỗ trợ

Name

Display Value
DeviceName =, !=, contains, starts with, not contains
ProcessName =, !=, contains, starts with, not contains
CommandLine =, !=, contains, starts with, not contains
IpAddress =, !=, contains, starts with, not contains
Sha256 =, !=, in
MD5 =, !=, in
Sha1 =, !=, in

NOTE:  Những trường trên chỉ áp dụng thời gian <=24 giờ.

Trường cho phép nhập:

  • =
  • !=
    1. Khi trường bao gồm tính năng search, sẽ trả kết quả giá trị theo trường tìm kiếm.
    2. Nếu việc tìm kiếm dựa trên địa chỉ IP, sẽ trả kết quả giá trị về địa chỉ IP.
    3. Ví dụ:

fieldname != value” means “(fieldName exists and fieldName != value)”

ipaddress != 10.1.1.1 and devicename = ‘7xblah’

      • ipaddress = destination ip at the moment.
      • Excludes all network traces with that ipaddress.
  • Start with
  • in
  • contains
  • not contains
    1. Queries được truy xuất như start with và contains các ký tự đặc biệt và “” (không gian trống) cần phải được thoát.

LƯU Ý: Đây không phải là trường hợp bằng và không bằng.

    1. Hành vi này có thể áp dụng cho cả Tìm kiếm lịch sử và Tìm kiếm thiết bị.
    2. Ví dụ: “tên trường không chứa giá trị” có nghĩa là “(tên trường tồn tại và tên trường không chứa giá trị)

Trân trọng cám ơn quý độc giả.

Biên dịch Lê Toản – Help.pacisoft.com

Tagged: