Créer une requête avancée

La fonction de requête avancée vous permet de créer des requêtes personnalisées pour améliorer vos activités de recherche de menaces. Les requêtes avancées offrent une visibilité approfondie de votre environnement Aurora Focus, des options de requêtes étendues et des flux de travail optimisés qui vous permettent de combiner des recherches connexes pour révéler de nouvelles informations. La requête avancée est prise en charge pour les terminaux dotés de l'agent Aurora Focus version 3.0 ou ultérieure.

La requête avancée repose sur l'utilisation de la syntaxe EQL. Vous utilisez EQL pour construire des requêtes pour les évènements, et les résultats fournissent des informations sur les artefacts qui ont été impliqués dans ces évènements. L'interface utilisateur de requête avancée inclut des informations sur la syntaxe pour vous aider à créer des requêtes EQL.

Consultez les sections Syntaxe EQL prise en charge pour les requêtes avancées et Exemples de requêtes EQL Aurora Focus.
  1. Dans la barre de menus de la console de gestion, cliquez sur CylanceOPTICS > Requête avancée.
  2. Effectuez l'une des opérations suivantes :

    Tâche

    Étapes

    Créer une nouvelle requête avancée
    Si vous souhaitez utiliser un modèle de requête existant pour créer une requête, cliquez sur Afficher la liste des modèles et sélectionnez un modèle, puis ignorez la première étape ci-dessous.
    1. Dans le champ de requête, saisissez ou collez la syntaxe EQL de la requête. À mesure de la saisie, des options de syntaxe et des messages de validation s'affichent pour vous aider à créer votre requête.

      Si vous souhaitez enregistrer la requête actuelle en tant que modèle, cliquez sur Enregistrer comme modèle. Saisissez un nom et une description, puis indiquez si vous souhaitez que le modèle soit privé ou disponible pour tous les administrateurs. Cliquez sur Enregistrer. Vous pouvez épingler, modifier et supprimer des requêtes de la liste des modèles.

    2. Pour définir le champ d'application de la requête, sous Rechercher des terminaux, cliquez sur Par zone ou Par terminal (une icône en regard de chaque terminal indique si le terminal est en ligne). Sélectionnez au moins une zone ou un terminal, puis cliquez sur Enregistrer. Si vous ne définissez pas la portée, la requête s'applique à toutes les zones et tous les terminaux.
    3. Pour définir une plage de dates et d'heures pour la requête, cliquez sur Icône Plage de dates et configurez la plage. Cliquez sur Apply (Appliquer). Si vous ne définissez pas de plage, la requête s'applique à toutes les données disponibles.
    4. Effectuez l'une des opérations suivantes :
      • Si vous souhaitez exécuter la requête, cliquez sur Exécuter la requête.
      • Si vous souhaitez planifier l'exécution de la requête à une date et une heure spécifiques ou à intervalles réguliers, cliquez sur Planifier une requête. Saisissez un nom et une description, indiquez si vous souhaitez que la requête soit privée ou visible pour tous les utilisateurs, et définissez les paramètres de date, d'heure et de récurrence facultative. Si vous souhaitez restreindre la requête aux données collectées depuis l'exécution précédente, cochez la case Interroger uniquement les nouvelles données. Cliquez sur Planifier une requête.

        Vous pouvez afficher et modifier les requêtes planifiées, mais aussi visualiser et exporter les résultats dans l'onglet Requêtes planifiées. Vous pouvez exécuter au maximum 25 requêtes ou en planifier l'exécution. Les requêtes arrêtées ou les requêtes exécutées une seule fois mais terminées ne sont pas prises en compte dans cette limite.

    Si vous souhaitez enregistrer les résultats de la requête pour les afficher ultérieurement à partir de l'onglet Instantanés de requête, dans la section des résultats, cliquez sur Icône Enregistrer. Saisissez un nom et une description, puis indiquez si vous souhaitez que les résultats soient privés ou visibles par tous les utilisateurs.

    Afficher un instantané de requête

    Dans l'onglet Instantanés de requête, cliquez sur un instantané de requête.

    Notez que cela affiche les résultats d'origine de la requête lorsqu'elle a été enregistrée et qu'il ne s'agit pas d'une nouvelle requête.
  3. Pour filtrer les résultats de la requête, effectuez l'une des opérations suivantes :
    • Pour filtrer les résultats de la requête par date et horodatage, cliquez sur une ou plusieurs barres de l'histogramme. Cliquez sur n'importe quelle barre de la plage sélectionnée pour supprimer le filtre de date et d'heure.
    • Pour filtrer les résultats de la requête par colonne, cliquez sur Icône Filtre en regard de cette colonne (par exemple, Terminal) et sélectionnez les critères de filtre.
    • Pour filtrer les résultats de la requête en fonction d'une valeur que vous spécifiez, cliquez sur Icône de recherche au-dessus des résultats de la requête, puis saisissez ou collez la valeur dans le champ de recherche (par exemple, un horodatage spécifique, une valeur de détail d'événement, etc.).
  4. Développez un résultat pour afficher les détails correspondants. Cliquez sur Icône Détails des résultats pour ouvrir un panneau contenant les détails de l'événement et des informations sur les alertes associées (vous devrez peut-être faire défiler la fenêtre des résultats vers la droite). Pour filtrer les résultats de la requête en vue d'afficher les correspondances d'un ou de plusieurs facets spécifiques, cliquez sur Icône Filtre en regard de ces facets. Cliquez à nouveau sur l'icône pour supprimer le filtre.
  5. Dans les résultats de la requête, développez le menu Icône Options pour afficher les actions disponibles pour chaque résultat. En fonction du type de résultat, les actions suivantes peuvent être disponibles :
    • Demander et afficher les données détaillées
    • Mettre le fichier en quarantaine globale ; Le fichier apparaît dans Paramètres > Liste globale > Quarantaine globale, dans Protection > Menaces et dans la section Menaces des détails du terminal.
    • Demander et télécharger un fichier; si des informations de chemin sont disponibles pour des fichiers associés à d'autres types d'artefacts, vous pouvez également télécharger ces fichiers. Le fichier est compressé et protégé par un mot de passe afin d'éviter toute exécution par erreur. Le mot de passe est « infecté ». La taille maximum pour la récupération de fichiers est de 50 Mo. Aurora Focus conserve les artefacts et les fichiers pendant 30 jours.
  6. Si vous souhaitez épingler un résultat de sorte à l'afficher avec un marqueur visuel s'il apparait dans les requêtes suivantes, cliquez sur Icône d'épinglage.
  • Pour exporter les résultats de requête dans un fichier .csv, cliquez sur Icône Exporter. Saisissez un nom et une description, indiquez si vous souhaitez que les résultats exportés soient privés ou visibles par tous les administrateurs, puis cliquez sur Exporter. Vous pouvez télécharger le fichier à partir de l'onglet Résultats exportés lorsqu'il est prêt.
  • Pour ajouter une nouvelle requête, cliquez sur Ajouter icône en regard de l'onglet de la requête en cours.
  • Pour copier une requête existante, placez le pointeur de la souris sur l'onglet correspondant et cliquez sur Icône Cloner.