Passer la navigation

Créer une requête avancée

La fonction de requête avancée vous permet de créer des requêtes personnalisées pour améliorer vos activités de recherche de menaces. Les requêtes avancées offrent une visibilité approfondie de votre environnement
CylanceOPTICS
, des options de requêtes étendues et des flux de travail optimisés qui vous permettent de combiner des recherches connexes pour révéler de nouvelles informations. La requête avancée est prise en charge pour les terminaux dotés de l'agent
CylanceOPTICS
version 3.0 ou ultérieure.
La requête avancée repose sur l'utilisation de la syntaxe EQL. Vous utilisez EQL pour construire des requêtes pour les évènements, et les résultats fournissent des informations sur les artefacts qui ont été impliqués dans ces évènements. L'interface utilisateur de requête avancée inclut des informations sur la syntaxe pour vous aider à créer des requêtes EQL.
  1. Dans la barre de menus de la console de gestion, cliquez sur
    CylanceOPTICS > Requête avancée
    .
  2. Effectuez l'une des opérations suivantes :
    Tâche
    Étapes
    Créer une nouvelle requête avancée
    Si vous souhaitez utiliser un modèle de requête existant pour créer une requête, cliquez sur
    Afficher la liste des modèles
    et sélectionnez un modèle, puis ignorez la première étape ci-dessous.
    1. Dans le champ de requête, saisissez ou collez la syntaxe EQL de la requête. À mesure de la saisie, des options de syntaxe et des messages de validation s'affichent pour vous aider à créer votre requête.
      Si vous souhaitez enregistrer la requête actuelle en tant que modèle, cliquez sur
      Enregistrer comme modèle
      . Saisissez un nom et une description, puis indiquez si vous souhaitez que le modèle soit privé ou disponible pour tous les administrateurs. Cliquez sur
      Enregistrer
      . Vous pouvez épingler, modifier et supprimer des requêtes de la liste des modèles.
    2. Pour définir le champ d'application de la requête, sous
      Rechercher des terminaux
      , cliquez sur
      Par zone
      ou
      Par terminal
      (une icône en regard de chaque terminal indique si le terminal est en ligne). Sélectionnez au moins une zone ou un terminal, puis cliquez sur
      Enregistrer
      . Si vous ne définissez pas la portée, la requête s'applique à toutes les zones et tous les terminaux.
    3. Pour définir une plage de dates et d'heures pour la requête, cliquez sur Icône Plage de dates et configurez la plage. Cliquez sur 
      Apply
      (Appliquer). Si vous ne définissez pas de plage, la requête s'applique à toutes les données disponibles.
    4. Effectuez l'une des opérations suivantes :
      • Si vous souhaitez exécuter la requête, cliquez sur
        Exécuter la requête
        .
      • Si vous souhaitez planifier l'exécution de la requête à une date et une heure spécifiques ou à intervalles réguliers, cliquez sur
        Planifier une requête
        . Saisissez un nom et une description, indiquez si vous souhaitez que la requête soit privée ou visible pour tous les utilisateurs, et définissez les paramètres de date, d'heure et de récurrence facultative. Si vous souhaitez restreindre la requête aux données collectées depuis l'exécution précédente, cochez la case
        Interroger uniquement les nouvelles données
        . Cliquez sur
        Planifier une requête
        .
        Vous pouvez afficher et modifier les requêtes planifiées, mais aussi visualiser et exporter les résultats dans l'onglet
        Requêtes planifiées
        . Vous pouvez exécuter au maximum 25 requêtes ou en planifier l'exécution. Les requêtes arrêtées ou les requêtes exécutées une seule fois mais terminées ne sont pas prises en compte dans cette limite.
    Si vous souhaitez enregistrer les résultats de la requête pour les afficher ultérieurement à partir de l'onglet
    Instantanés de requête
    , dans la section des résultats, cliquez sur Icône Enregistrer. Saisissez un nom et une description, puis indiquez si vous souhaitez que les résultats soient privés ou visibles par tous les utilisateurs.
    Afficher un instantané de requête
    Dans l'onglet
    Instantanés de requête
    , cliquez sur un instantané de requête.
    Notez que cela affiche les résultats d'origine de la requête lorsqu'elle a été enregistrée et qu'il ne s'agit pas d'une nouvelle requête.
  3. Pour filtrer les résultats de la requête, effectuez l'une des opérations suivantes :
    • Pour filtrer les résultats de la requête par date et horodatage, cliquez sur une ou plusieurs barres de l'histogramme. Cliquez sur n'importe quelle barre de la plage sélectionnée pour supprimer le filtre de date et d'heure.
    • Pour filtrer les résultats de la requête par colonne, cliquez sur Icône Filtre en regard de cette colonne (par exemple, Terminal) et sélectionnez les critères de filtre.
    • Pour filtrer les résultats de la requête en fonction d'une valeur que vous spécifiez, cliquez sur Icône de recherche au-dessus des résultats de la requête, puis saisissez ou collez la valeur dans le champ de recherche (par exemple, un horodatage spécifique, une valeur de détail d'évènement, etc.).
  4. Développez un résultat pour afficher les détails correspondants. Cliquez sur Icône Détails des résultats pour ouvrir un panneau contenant les détails de l'évènement et des informations sur les alertes associées (vous devrez peut-être faire défiler la fenêtre des résultats vers la droite). Pour filtrer les résultats de la requête en vue d'afficher les correspondances d'un ou de plusieurs facets spécifiques, cliquez sur Icône Filtre en regard de ces facets. Cliquez à nouveau sur l'icône pour supprimer le filtre.
  5. Dans les résultats de la requête, développez le menu Icône Options pour afficher les actions disponibles pour chaque résultat. En fonction du type de résultat, les actions suivantes peuvent être disponibles :
    • Mettre le fichier en quarantaine globale ; Le fichier apparaît dans
      Paramètres > Liste globale > Quarantaine globale
      , dans
      Protection > Menaces
      et dans la section
      Menaces
      des détails du terminal.
    • Demander et télécharger un fichier; si des informations de chemin sont disponibles pour des fichiers associés à d'autres types d'artefacts, vous pouvez également télécharger ces fichiers. Le fichier est compressé et protégé par un mot de passe afin d'éviter toute exécution par erreur. Le mot de passe est « infecté ». La taille maximum pour la récupération de fichiers est de 50 Mo.
      CylanceOPTICS
      conserve les artéfacts et les fichiers pendant 30 jours.
  6. Si vous souhaitez épingler un résultat de sorte à l'afficher avec un marqueur visuel s'il apparait dans les requêtes suivantes, cliquez sur Icône d'épinglage.
  • Pour exporter les résultats de requête dans un fichier .csv, cliquez sur Icône Exporter. Saisissez un nom et une description, indiquez si vous souhaitez que les résultats exportés soient privés ou visibles par tous les administrateurs, puis cliquez sur
    Exporter
    . Vous pouvez télécharger le fichier à partir de l'onglet
    Résultats exportés
    lorsqu'il est prêt.
  • Pour ajouter une nouvelle requête, cliquez sur Ajouter icône en regard de l'onglet de la requête en cours.
  • Pour copier une requête existante, placez le pointeur de la souris sur l'onglet correspondant et cliquez sur Icône Cloner.