查询构建器

查询生成器是一个基于云的特性,它可以帮助您使用自定义构建的查询提取资产和漏洞数据。

查询生成器的好处

你可以使用查询生成器来:

  • 使用相同的查询在资产、漏洞、服务和软件结果之间快速转换
  • 简化缩小数据范围的方法
  • 出口数据转换为CSV文件。

访问查询生成器

要访问查询生成器,登录您的Insight平台账户dota2必威联赛打开您的InsightVM产品。在右上角,点击账户图标旁边带有放大镜的图标。

在查询生成器中,你可以:

  • 加载现有查询
  • 建立新的查询

加载现有查询

要使用您的组织以前进行过的任何查询,请单击Load Query以显示一个下拉菜单来加载所有现有查询解锁锁着的(用锁图标指定)。

打开查询

未锁定的查询是可编辑的。加载一个未锁定的查询后,你会看到以下内容:

  1. 查询名称-编辑查询名称,使您更容易记住
  2. 主人的名字要么是你自己,要么是同事
  3. 查询创建日期—查询构建的日期
  4. 更新日期-最后编辑日期(仅在查询已编辑时显示)

锁定查询

查询名称之外的锁表示查询已锁定,不能编辑,因为它当前定义了静态修正项目、目标、SLA或自动化的范围。

加载一个锁定查询后,您将看到与之前相同的信息,除了对“位置”的引用。“位置”是使用现有查询的特性。

因为正在使用它,所以查询被锁定。您可以按原样使用加载的查询,也可以单击“添加条件”为已有查询添加更多参数。您将另存为新以避免覆盖现有锁定查询。

建立新的查询

在构建新的查询之前,让我们先熟悉一下接口并学习一些基本概念。查询生成器有两种模式,允许您构建自定义查询:

以标准模式构建查询

如前所述,使用标准模式新查询

在标准模式中构建的查询由“药丸”组成,这些药丸是基于唯一参数数组过滤数据的标准。这些药丸显示和定义字段,运营商,以及在构建查询时的值。

注:一剂药=一项标准

在构建查询时,请注意一个药片等于一个标准。例如,要构建一个标识位于纽约的Linux资产的查询,您将需要构建两个药丸:

  • 一个隔离Linux资产的药片
  • 一粒药能隔离纽约的资产

标准模式为您提供了一个交互式菜单,您可以选择标准和构建药丸,而不需要手动输入查询参数。

在标准模式下,您将:

  • 增加使用标准:
    • 单片药-缩小范围一点
    • 多个药丸-进一步缩小范围,以创建有针对性的查询
  • 查看你的数据

熟悉查询生成器接口

首先,让我们浏览一下Query Builder布局。单击Add Criteria打开Query Builder界面。

  1. 建议字段-单击,显示最常用的字段及其定义
  2. 最近的领域—单击,显示最近使用的字段
  3. 字段类别-点击“类别”下的任何字段类别自动滚动到第二个面板(表示为D)的相关字段
  4. 字段—显示字段名称及其描述
  5. 运营商——建议运营商(取决于您事先选择的参数)
  6. 价值—建议值(取决于您预先选择的参数)或手动输入
  7. 查询字段-在构建时显示字段和标准

提示

在搜索栏中键入关键字可以快速查找包含该关键字的字段。

让我们仔细看看药丸的结构。

  1. 过滤器复选框—将药丸内容应用于数据。不加检查将不会对数据起作用
  2. ——排序数据
  3. 操作符-控制和定义查询参数应该产生什么
  4. 价值-定义参数
  5. X-移除药片
  6. 标准-药丸的全部内容,可以自己查询,也可以与他人一起进行更有针对性的查询

创建一个查询

您可以在标准模式中创建由单个药片或多个药片组成的查询。在构建查询时,表中的数据将相应地更新。

要创建单个药丸查询,请遵循以下步骤:

  1. 点击添加标准
  2. 选择一个类别。
  3. 从字段面板中选择所需的字段。
  4. 选择一个操作符。
  5. 点击应用标准完成你的药片。
  6. 点击保存来构建您的查询。

要构建更有针对性的查询,可以构建由几个药片组成的查询:

  1. 在研制出第一颗药丸后,添加标准制造另一种药丸。
  2. 之间的选择将您的查询连接在一起。

注意-和或运算符行为

你可以切换到但您的选择将适用于查询的其余部分。你不能混合药片一起在同一个查询。

  1. 点击保存

在专家模式中构建查询

如果您喜欢从头开始构建查询或包含括号的查询,请使用Expert模式。注意,必须手动将参数输入筛选字段。

要使用专家模式,请单击切换到专家在打开查询生成器之后。通过手动输入筛选字段来细化数据范围。

  • 资产过滤器-缩小资产范围
  • 脆弱性过滤器-缩小漏洞范围
  • 发现过滤器-缩小漏洞发现范围

注意-漏洞和漏洞发现之间的区别

“漏洞”是一种可以被利用的独特的弱点,可以通过CVE代码或其他独特的标识符来识别。

“漏洞发现”是指在扫描或代理评估后被识别为具有漏洞的目标资产。漏洞查找可以在同一资产上出现一次或多次,但仍然算作一个漏洞查找。

至少,您需要在字段中输入一个筛选器,但如果添加更多参数(在每个筛选器中或使用所有三个筛选器字段),您的查询将更具针对性。

切换和/或将指定的操作符应用于所有三个筛选器。你可以把" and " or " or "混在一起运营商在同一个过滤器中。

注:在过滤器中输入“和”或“或”

在筛选器中,要手动键入运营商“和”或“或”表示为:

**And** - `& ` **Or** - `||`

“或”由两个竖条或管道表示,而不是小写的“l”。

键盘快捷键

您可以在标准和专家模式的查询生成器中使用键盘快捷键来构建查询,而无需将您的手从键盘上移开。键盘快捷键提供了另一种选择来执行通常使用鼠标的操作。

此图表定义键及其相关操作。所有都适用于标准和专家模式。

键盘键

行动

选项卡

将焦点转移到下一节

Shift + tab

将焦点移回上一节

↑(箭头)

在列表中向上移动

↓(向下箭头)

在列表中向下移动

输入

确认按钮选择

Query-Specific数据视图

当您以任何一种模式构建查询时,当查询应用于数据时,表中的数据将相应地更新。在表格的顶部,你会看到这些标签:

  • 资产
  • 漏洞
  • 服务
  • 软件

要查看查询如何影响其他数据类型,请单击相应的选项卡。每个选项卡旁边括号中的数值表示该数据类型的总数。

保存查询

对查询感到满意后,单击保存并键入名称以便识别。点击加载查询在下拉菜单中查看新创建的查询。

导出查询结果

为方便报告,您可以将查询结果导出为CSV文件。单击导出到CSV按钮下载包含查询内容的CSV文件。

注-纪元日期导出在CSV文件

从Query Builder导出的CSV文件中的日期是纪元格式(毫秒)。要将这些epoch日期转换为标准日期格式,请在谷歌Sheets或Microsoft Excel中使用以下公式:

=日期(1970年,1,1)+ (K2/86400000)

替代的例子K2单元格与要转换的epoch数据的单元格。

创建一个项目

在构建查询之后,您可以使用过滤的资产或漏洞数据创建补救项目。选择资产漏洞选项卡,然后单击创建一个项目按钮以在可能的地方打开向导创建补救项目.你可以保存您的查询在创建补救项目之前或之后。