Como filtrar dados na visualização "Detecção de regras"

A visualização de detecção de regras exibe os metadados anexados à regra e um gráfico que mostra o número de detecções encontradas pela regra nos últimos dias.

Para acessar a visualização Detecção de regras no Chronicle, siga estas etapas:

  1. No canto superior direito, o ícone de menu do aplicativo é Ícone do menu do aplicativo. Clique no ícone para abrir o menu suspenso do aplicativo. Selecione Enterprise Insights, como mostrado na figura a seguir.

    Menu do aplicativo na página de destino Menu do aplicativo

  2. Selecione Ver regras. A visualização Painel de regras é exibida.

    Painel de regras Painel de regras

  3. Clique no nome de uma regra. A visualização "Detecção de regras" é exibida.

    Visualização de detecções Visualização de detecções

  4. Clique na seta para a direita na coluna "Detections" no painel de navegação à esquerda.

    Detalhes do evento de registro bruto de detecção Janela pop-up de detalhes de registros brutos

  5. Clique no ícone Ícone de filtro no canto superior direito da interface do usuário do Chronicle. O menu Filtro processual é aberto, como mostrado na figura a seguir.

    Menu de filtragem processual Menu de filtragem processual

    As seguintes opções de filtragem processual são exibidas na visualização "Detecção de regras" (esta lista não inclui todas as opções de filtragem):

    • METADADOS.EVENT_TYPE
    • METADADOS.PRODUTO_NAME
    • NETWORK.APPLICATION_PROTOCOL
    • NETWORK.DNS.QUESTIONS.CLASS
    • NETWORK.DNS.ANSWERS.DATA
    • NETWORK.DNS.ANSWERS.NAME
    • NETWORK.DNS.ANSWERS.TTL
    • NETWORK.DNS.ANSWERS.TYPE
    • NETWORK.DNS.QUESTIONS.CLASS
    • NETWORK.DNS.QUESTIONS.NAME
    • NETWORK.DNS.QUESTIONS.TYPE