Campos e operações compatíveis com a opção de pesquisa do histórico
Artigos técnicos ID:
KB94584
Última modificação: 23/09/2021
Ambiente
McAfee MVISION EDR
Resumo
O artigo fornece informações sobre o mecanismo de pesquisa compatível.
Campos com suporte
| Name |
Display Value |
Artifício |
| Device name |
DeviceName |
Afinal |
| Process name |
ProcessName |
Processos |
| Command line |
CommandLine |
Processos |
| IP address |
IpAddress |
Rede |
| Sha256 |
Sha256 |
Arquivo |
| MD5 |
MD5 |
Arquivo |
| Sha1 |
Sha1 |
Arquivo |
| All Events |
Default (Empty) |
Afinal |
| ID do processo |
IDprocesso |
Processos |
| Nome do processo pai |
ParentProcessName |
Processos |
| ID do processo pai |
ParentProcessID |
Processos |
Operadores lógicos compatíveis:
NOTAS:
- DeviceName pode ser associado a qualquer outro campo usando o operador lógico "AND".
INDICADO Para os sistemas clientes com MVISION EDR versão do cliente 3.3.x ou, anteriormente, o resultado não aparece na pesquisa de histórico dashboard quando pesquisado com o operador lógico "AND" para artefatos DeviceName em Process.
Como DeviceName = 7ws3342 AND ProcessName = cmd.exe
- Linha de comando e IpAddress Não é possível se associar usando o operador lógico "AND", mas pode ser associado usando o operador lógico "OR".
- A linha de comando e o ProcessName podem ser associados por meio do operador lógico "AND".
- Quando você faz referência ao MD5, SHA-1 e SHA-256, ele implica hashes correspondentes ao arquivo.
- Quando você se refere ao endereço IP, ele implica o endereço de destino.
Operadores suportados
| Name |
Display Value |
| DeviceName |
=, !=, contains, starts with, not contains |
| ProcessName |
=, !=, contains, starts with, not contains |
| CommandLine |
=, !=, contains, starts with, not contains |
| IpAddress |
=, !=, contains, starts with, not contains |
| Sha256 |
=, !=, in |
| MD5 |
=, !=, in |
| Sha1 |
=, !=, in |
INDICADO "Contains" só é aplicável se o intervalo de tempo for <=24 hours.
Operações permitidas:
- =
- !=
- Quando um campo é incluído em uma pesquisa, os resultados retornados devem conter um valor no campo incluído na pesquisa.
- Se a pesquisa for baseada em um endereço IP, somente os resultados com valores no campo endereço IP serão retornados.
- Como
"fieldname != value" means "(fieldName exists and fieldName != value)"
IPAddress! = 10.1.1.1 e DeviceName = ' 7xblah '
ipaddress = IP de destino no momento.
Exclui todos os rastreamentos de rede com esse ipaddress.
- starts with
- in
- contains
- not contains
- Consultas com operadores as começa com em contidos todos os caracteres especiais e "" (espaço em branco) precisam ser precedidos.
INDICADO Esse não é o caso para igualdade em Não é igual a.
- Quando um valor na consulta contém aspas duplas que precisam ser de escape, o valor deve ser colocado entre aspas duplas, como mostrado abaixo:
Como CommandLine = "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /ua /installsource scheduler
A serem atualizadas da seguinte forma: CommandLine = "\"C:\Program Files (x86)\Google\Update\GoogleUpdate.exe\" /ua /installsource scheduler"
- Quando o valor contiver espaço, o valor inteiro deverá ser colocado entre aspas duplas, como mostrado abaixo:
Como Linha de comando = C:\Windows\System32\svchost.exe -k wsappx
A serem atualizadas da seguinte forma: CommandLine = "C:\Windows\System32\svchost.exe -k wsappx"
- Para que o Contidos, Não contém, e Começa com , todos os caracteres especiais precisam de escape, como mostrado abaixo:
Como Value: C:\Windows\System32\svchost.exe -k wsappx
A serem atualizadas da seguinte forma: CommandLine contains "C\:\\Windows\\System32\\svchost.exe\ -k\ wsappx"
Esse comportamento é aplicável tanto para pesquisa de histórico como para pesquisa de dispositivos.
Como "fieldname not contains value" maneira "(fieldName exists and fieldName not contains value)"
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|
