Campi e operazioni supportati per l'opzione di ricerca cronologica
Articoli tecnici ID:
KB94584
Ultima modifica: 23/09/2021
Ambiente
McAfee MVISION EDR
Riepilogo
L'articolo fornisce informazioni dettagliate sul meccanismo di ricerca supportato.
Campi supportati
| Name |
Display Value |
Diavolerie |
| Device name |
DeviceName |
Tutti |
| Process name |
ProcessName |
Processo |
| Command line |
CommandLine |
Processo |
| IP address |
IpAddress |
Rete |
| Sha256 |
Sha256 |
File |
| MD5 |
MD5 |
File |
| Sha1 |
Sha1 |
File |
| All Events |
Default (Empty) |
Tutti |
| ID processo |
ProcessID |
Processo |
| Nome processo padre |
ParentProcessName |
Processo |
| ID processo padre |
ParentProcessID |
Processo |
Operatori logici supportati:
Note
- DeviceName può essere unito a qualsiasi altro campo utilizzando l'operatore logico "e".
Nota Per i sistemi client con MVISION EDR versione client 3.3.x o versioni precedenti, il risultato non viene visualizzato nella ricerca cronologica dashboard quando viene eseguita la ricerca con l'operatore logico "e" per gli elementi DeviceName e ProcessName.
Esempio DeviceName = 7ws3342 AND ProcessName = cmd.exe
- Riga di comando e IpAddress non può essere unito utilizzando l'operatore logico "AND", ma può essere unito utilizzando l'operatore logico "OR".
- È possibile unire la riga di comando e il Processoname utilizzando l'operatore logico "AND".
- Quando si fa riferimento a MD5, SHA-1 e SHA-256, implica gli hash corrispondenti al file.
- Quando si fa riferimento all'indirizzo IP, implica l'indirizzo di destinazione.
Operatori supportati
| Name |
Display Value |
| DeviceName |
=, !=, contains, starts with, not contains |
| ProcessName |
=, !=, contains, starts with, not contains |
| CommandLine |
=, !=, contains, starts with, not contains |
| IpAddress |
=, !=, contains, starts with, not contains |
| Sha256 |
=, !=, in |
| MD5 |
=, !=, in |
| Sha1 |
=, !=, in |
Nota "Contains" è applicabile solo se l'intervallo di tempo è <=24 hours.
Operazioni consentite:
- =
- !=
- Quando un campo viene incluso in una ricerca, i risultati restituiti devono contenere un valore nel campo incluso nella ricerca.
- Se la ricerca si basa su un indirizzo IP, vengono restituiti solo i risultati con valori nel campo indirizzo IP.
- Esempio
"fieldname != value" means "(fieldName exists and fieldName != value)"
IPAddress! = 10.1.1.1 e DeviceName =' 7xblah '
ipaddress = IP di destinazione al momento.
Esclude tutte le tracce di rete con quella ipaddress.
- starts with
- in
- contains
- not contains
- Query con operatori come inizia con e contiene tutti i caratteri speciali e "" (spazio vuoto) devono essere sottoposto a escape.
Nota Questo non è il caso di è uguale a e non è uguale a.
- Quando un valore nel query contiene virgolette doppie che devono essere sottoposte a escape, il valore deve essere racchiuso tra virgolette doppie, come mostrato di seguito:
Esempio CommandLine = "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /ua /installsource scheduler
Da aggiornare come: CommandLine = "\"C:\Program Files (x86)\Google\Update\GoogleUpdate.exe\" /ua /installsource scheduler"
- Quando il valore contiene spazio, l'intero valore deve essere racchiuso tra virgolette doppie, come mostrato di seguito:
Esempio CommandLine = C:\Windows\System32\svchost.exe -k wsappx
Da aggiornare come: CommandLine = "C:\Windows\System32\svchost.exe -k wsappx"
- Per la Contiene, Non contiene, e Inizia con operatore, tutti i caratteri speciali devono essere sottoposte a escape come mostrato di seguito:
Esempio Value: C:\Windows\System32\svchost.exe -k wsappx
Da aggiornare come: CommandLine contains "C\:\\Windows\\System32\\svchost.exe\ -k\ wsappx"
Questo comportamento è applicabile sia alla ricerca cronologica che alla ricerca di dispositivi.
Esempio "fieldname not contains value" significa "(fieldName exists and fieldName not contains value)"
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|
