Campos y operaciones compatibles con la opción búsqueda histórica
Artículos técnicos ID:
KB94584
Última modificación: 27/09/2021
Entorno
McAfee MVISION EDR
Resumen
El artículo proporciona información sobre el mecanismo de búsqueda admitido.
Campos admitidos
| Name |
Display Value |
Artefactos |
| Device name |
DeviceName |
Resto |
| Process name |
ProcessName |
Cuatricromía |
| Command line |
CommandLine |
Cuatricromía |
| IP address |
IpAddress |
Red |
| Sha256 |
Sha256 |
Archivo |
| MD5 |
MD5 |
Archivo |
| Sha1 |
Sha1 |
Archivo |
| All Events |
Default (Empty) |
Resto |
| ID de proceso |
ProcessID |
Cuatricromía |
| Nombre de proceso principal |
ParentProcessName |
Cuatricromía |
| ID de proceso principal |
ParentProcessID |
Cuatricromía |
Operadores lógicos compatibles:
Notas
- DeviceName se puede combinar con cualquier otro campo mediante el operador lógico "y".
SEÑALAR Para los sistemas cliente con MVISION EDR versión del cliente 3.3.x o anterior, el resultado no aparece en el panel búsqueda histórica cuando se busca con el operador lógico "AND" para los artefactos DeviceName así Nombreproceso.
Como DeviceName = 7ws3342 AND ProcessName = cmd.exe
- CommandLine y IpAddress no se pueden combinar con el operador lógico "y", pero se pueden combinar mediante el operador lógico "o".
- CommandLine y processName pueden combinarse con el operador lógico "AND".
- Cuando se hace referencia a MD5, SHA-1 y SHA-256, implica hashes que corresponden al archivo.
- Cuando se hace referencia a la dirección IP, implica la dirección de destino.
Operadores admitidos
| Name |
Display Value |
| DeviceName |
=, !=, contains, starts with, not contains |
| ProcessName |
=, !=, contains, starts with, not contains |
| CommandLine |
=, !=, contains, starts with, not contains |
| IpAddress |
=, !=, contains, starts with, not contains |
| Sha256 |
=, !=, in |
| MD5 |
=, !=, in |
| Sha1 |
=, !=, in |
SEÑALAR "Contains" solo es aplicable si el intervalo de tiempo es <=24 hours.
Operaciones permitidas:
- =
- !=
- Cuando se incluye un campo en una búsqueda, los resultados devueltos deben contener un valor en el campo incluido en la búsqueda.
- Si la búsqueda se basa en una dirección IP, solo se devuelven los resultados con valores en el campo dirección IP.
- Como
"fieldname != value" means "(fieldName exists and fieldName != value)"
IPAddress! = 10.1.1.1 y DeviceName = ' 7xblah '
ipaddress = IP de destino en este momento.
Excluye todas las trazas de red con ese ipaddress.
- starts with
- in
- contains
- not contains
- Consultas con operadores como empieza por así contiene se deben escapar todos los caracteres especiales y "" (espacio en blanco).
SEÑALAR Este no es el caso de es igual a así no es igual a.
- Cuando un valor de la consulta contiene comillas dobles que deben ser de escape, el valor debe ir entre comillas dobles, tal y como se muestra a continuación:
Como CommandLine = "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /ua /installsource scheduler
Para actualizarse como: CommandLine = "\"C:\Program Files (x86)\Google\Update\GoogleUpdate.exe\" /ua /installsource scheduler"
- Cuando el valor contiene espacio, el valor completo debe ir entre comillas dobles, tal y como se muestra a continuación:
Como CommandLine = C:\Windows\System32\svchost.exe -k wsappx
Para actualizarse como: CommandLine = "C:\Windows\System32\svchost.exe -k wsappx"
- Para la Contiene, No contiene, y Empieza por , se deben escapar todos los caracteres especiales como se indica a continuación:
Como Value: C:\Windows\System32\svchost.exe -k wsappx
Para actualizarse como: CommandLine contains "C\:\\Windows\\System32\\svchost.exe\ -k\ wsappx"
Este comportamiento se aplica tanto a la búsqueda histórica como a la búsqueda de dispositivos.
Como "fieldname not contains value" modo "(fieldName exists and fieldName not contains value)"
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|
