为调查添加数据

打开调查时,可以添加以下类型的数据:

  • 端点或资产数据
  • 网络数据
  • 原始数据

只能在Windows机器上向调查添加端点或资产数据。

端点的工作数据

您可以将端点数据添加到调查中以查看程序和法医数据,例如DNS缓存、已安装的服务或注册表项等。

将端点数据添加到调查中:

  1. 挑选添加端点作业数据从下拉。
  2. 选择你想要运行的任务。配置所需的任何额外细节。
  3. 添加一个或多个端点或添加资产组。
  4. 点击保存

收集到的数据将作为“演员”出现在调查时间轴上。

网络数据

您可以从网络中添加特定日期范围和特定用户的数据。可用网络数据列表如下:

  • 帐户修改
  • 高级恶意软件警报
  • 资产认证
  • 云服务帐户已修改
  • DNS查询
  • 防火墙
  • 身份证
  • 入口认证
  • 病毒感染
  • 网络代理

向调查中添加网络数据:

  1. 挑选添加网络数据从下拉。
  2. 选择日期范围。
  3. 选择要添加为调查参与者的用户或资产。
  4. 点击保存

添加的用户和资产将作为参与者出现在调查时间表上。

日志数据

由InsightIDR摄取的任何日志数据都可以作为调查数据使用。

要将日志数据添加到调查中,请执行以下操作:

  1. 挑选添加日志数据从下拉。
  2. 选择一个或多个日志或日志集。
  3. 定义您的查询。看到日志搜索有关编写查询的更多信息。
  4. 查找所需的日志数据。
  5. 挑选发送到调查将日志数据添加为参与者。完成此操作后,您将能够向所选日志添加上下文。
  6. 点击保存. 然后,日志行将出现在调查时间表中。