为调查添加数据
打开调查时,可以添加以下类型的数据:
- 端点或资产数据
- 网络数据
- 原始数据
只能在Windows机器上向调查添加端点或资产数据。
端点的工作数据
您可以将端点数据添加到调查中以查看程序和法医数据,例如DNS缓存、已安装的服务或注册表项等。
将端点数据添加到调查中:
- 挑选添加端点作业数据从下拉。
- 选择你想要运行的任务。配置所需的任何额外细节。
- 添加一个或多个端点或添加资产组。
- 点击保存.
收集到的数据将作为“演员”出现在调查时间轴上。
网络数据
您可以从网络中添加特定日期范围和特定用户的数据。可用网络数据列表如下:
- 帐户修改
- 高级恶意软件警报
- 资产认证
- 云服务帐户已修改
- DNS查询
- 防火墙
- 身份证
- 入口认证
- 病毒感染
- 网络代理
向调查中添加网络数据:
- 挑选添加网络数据从下拉。
- 选择日期范围。
- 选择要添加为调查参与者的用户或资产。
- 点击保存.
添加的用户和资产将作为参与者出现在调查时间表上。
日志数据
由InsightIDR摄取的任何日志数据都可以作为调查数据使用。
要将日志数据添加到调查中,请执行以下操作:
- 挑选添加日志数据从下拉。
- 选择一个或多个日志或日志集。
- 定义您的查询。看到日志搜索有关编写查询的更多信息。
- 查找所需的日志数据。
- 挑选发送到调查将日志数据添加为参与者。完成此操作后,您将能够向所选日志添加上下文。
- 点击保存. 然后,日志行将出现在调查时间表中。
这页对你有帮助吗?