使用累积搜索
该 累积搜索 功能允许您使用多个相同或不同类型的标识符来搜索威胁。该功能支持自动补全,并能根据部分输入的搜索标识符提供建议。
访问累积威胁搜索功能请按以下步骤操作:
-
登录 IntelliZone控制台
-
前往 威胁搜索 页面
-
点击 累积 点击搜索框右侧的按钮。
启用 累积 搜索功能。
工作原理
简单搜索 可定位与特定入侵指标(IoC)相关的所有已知威胁。您可搜索与域名、URL、IP、哈希值或证书哈希相关的威胁。
累积搜索 能根据威胁与多个属性的关联性进行定位。您可使用以下筛选条件过滤搜索结果:
-
actor_name(攻击者名称)- 攻击者的主名称或别名(依据Bitdefender分类体系)。 -
malware_family_name(恶意软件家族名称)- 威胁所属的恶意软件家族名称。 -
country(国家)- 威胁的起源国家。 -
industry(行业)- 威胁起源的行业。 -
device_type(设备类型)- 威胁用于突破安全防护的终端类型。 -
min_score(最低威胁分数)- 仅搜索威胁分数等于或高于此值的威胁。 -
min_confidence(最低置信度)- 仅搜索归因置信度等于或高于此值的威胁。 -
indicator(入侵指标)- 与威胁关联的入侵指标。
累积搜索 支持以下操作:
-
组合同类型搜索筛选条件——搜索将返回与任意指标关联的所有威胁的累积列表。
注意
您只能在同一条目中组合
国家和行业相同类型的搜索筛选条件。 -
组合不同类型的搜索筛选条件 - 搜索将仅返回与两个指标均关联的威胁。
搜索提供以下工具辅助您的查询:
-
帮助工具 :此功能显示可用指标类型的列表。
启用该工具可通过点击搜索框,或按键盘上的
Ctrl+/键。指标列表显示后,可点击任一项目插入文本框,或开始输入以获取基于当前内容的局部匹配结果。
-
自动补全工具 :此功能可根据搜索框当前输入内容建议所有可能的条目:
启用该工具需按键盘上的
Ctrl+/键,或在参数后输入"符号。
格式
累积搜索 采用以下格式:
<搜索过滤器>: "<属性值>" AND <搜索过滤器>: "<属性值>" ...
|
参数 |
描述 |
|---|---|
|
|
用于筛选搜索结果的搜索条件。 |
|
|
用于比对的属性值。 |
示例
使用单一过滤器进行搜索 :
actor_name: "木乃伊蜘蛛"
使用同类型多过滤器进行搜索 :
country: "美国" AND country: "英国"
使用不同类型多过滤器进行搜索 :
country: "美国" AND min_score: "60"
使用两个同类型过滤器和一个不同类型过滤器进行搜索 :
country: "美国" AND country: "英国" AND min_score: "60"