Le point de contrôle réseau d'Symantec Endpoint Detection and Response analyse les flux de données entrants pendant qu'elles transitent sur le réseau. Ces informations sont stockées dans la base de données d'Symantec EDR. Symantec EDR permet de rechercher les événements qui se sont déjà produits dans votre environnement dans cette base de données. Symantec EDR ne prend pas en charge l'exécution d'actions à partir de cette page. Vous pouvez toutefois cliquer sur les hyperliens dans les résultats de recherche pour accéder aux pages de détails des entités et obtenir plus d'informations et prendre les mesures nécessaires à partir de là.
Tout rôle d'utilisateur peut rechercher des indicateurs de compromission (IOC) dans la base de données d'Symantec EDR.
Pour rechercher des événements constituant des IOC dans la base de données d'Symantec EDR
Effectuez l'une des opérations suivantes :
Dans la EDR cloud console, cliquez sur Search (Rechercher), sélectionnez une appliance, puis cliquez sur Database > Events (Base de données > Événements).
Dans la EDR appliance console, cliquez sur Search > Database > Events (Rechercher > Base de données > Événements).
Dans la zone de requête de recherche, saisissez votre requête de recherche.
Symantec EDR valide votre requête et analyse les chaînes individuellement pour déterminer leur type (nom de fichier, hachage, domaine, etc.). Par exemple, si vous saisissez test123 dans le champ recherche, Symantec EDR renvoie tout fichier dont le nom commence par « test123 ». Si vous collez 462EE52A6C5ABC4C547492B8B569B78A dans le champ de rechercher, Symantec EDR renvoie tout fichier contenant cette chaîne dans son nom ou tout fichier contenant cette valeur de hachage.
Symantec EDR prend en charge les expressions de recherche écrites au format suivant :
Jeton: "Valeur"
Symantec EDR comporte également des Filtres Rapides préconfigurés pour créer rapidement des requêtes à partir des composants de filtres couramment utilisés. Utilisez les liens suivants pour en savoir plus sur les filtres rapides, les opérateurs, les caractères génériques et les versions prises en charge.
Les résultats de recherche s'affichent dans la vue Events Summary (Récapitulatif des événements). Cliquez sur le lien suivant pour en savoir plus sur la façon d'utiliser la vue Events Summary.
Merci pour vos commentaires. Faites-nous savoir ci-dessous si vous avez d'autres commentaires. (connexion requise)