威胁狩猎

威胁狩猎使安全团队能够通过查询收集的数据中可疑或异常行为，主动调查终端事件日志。管理员可以使用查询语法搜索终端事件日志，识别威胁，并创建警报，当相同活动在环境中再次出现时接收通知。

威胁狩猎支持两种查询构建模式： 语法 模式，直接编写查询 经典 模式，通过引导筛选界面构建查询。识别出可疑活动后，管理员可以通过两种方式响应：

• 触发警报 — 针对狩猎结果中识别出的特定可疑事件立即触发警报。
• 定时警报 — 创建定期自动运行的查询，并在满足指定条件时触发警报。

当警报触发时，会自动在 事件 菜单下创建对应的事件以便进一步调查。

• 使用威胁狩猎的步骤
• 使用语法模式
• 使用经典模式
• 触发警报
• 定时触发警报
• 事件

使用威胁狩猎的步骤

1. 导航至 Endpoint Protection → 威胁狩猎.
2. 选择查询构建方式：
   • 语法 — 使用支持的查询语言直接编写查询。
   • 经典 — 使用筛选构建器可视化构建查询，无需手动编写语法。
3. 通过指定日期和时间范围选择时间周期进行搜索。
4. 点击 运行 执行查询并查看匹配结果。
5. 在 狩猎结果 表中查看结果。点击结果行打开 狩猎详情 面板，显示所选事件的时间戳、事件元数据、设备详情和事件详情。
6. 如果识别出特定可疑事件，点击 触发警报 狩猎详情面板中的
7. 以立即触发该事件的警报。 定时警报 如需持续监控某种活动模式，点击
8. 创建基于该查询的定期警报。 事件 在

使用语法模式

语法 菜单中监控警报并调查相关事件。

语法 模式允许你直接编写查询语句以搜索终端事件日志。当需要使用支持的运算符和字段名精确控制搜索条件时，请使用此模式。.

有关完整语法参考和所有支持的运算符，请参见

1. 查询语法文档 语法 构建查询
2. 选择
3. 作为查询模式。
4. 在搜索字段中使用支持的查询语言输入查询。 运行.

根据需要追加附加条件以缩小结果范围。

logtype="edrevents"

选择时间段并点击

logtype="edrevents" AND action="FileCreate" AND filepath CONTAINS "temp"

示例：

使用经典模式

经典 你可以链式连接多个条件以进一步细化结果：

1. 查询语法文档 经典 构建查询
2. 经典 模式提供引导筛选界面，可在无需手动编写语法情况下构建查询。该模式适合偏好可视化点击操作的管理员。 构建筛选器
3. 从下拉列表中选择要筛选的 字段 。
4. 选择 运算符 （例如，等于、包含、大于）。
5. 输入匹配的
   • 点击 值 。 添加更多条件： 使用
   • 点击 AND 或
6. OR 添加单个条件。 添加组筛选器
7. 在搜索字段中使用支持的查询语言输入查询。 运行.

示例：

触发警报

创建嵌套条件组以实现复杂逻辑。

在筛选器构建器下方查看

1. 条件模式 语法 。 经典 ，以验证条件组合方式。 狩猎结果 当在狩猎结果中识别出特定可疑事件时，可以直接从狩猎详情面板立即触发警报。
2. 触发警报步骤 狩猎详情 在
   • 模式运行查询并查看 表。
   • 点击结果行，打开右侧的 面板。该面板显示所选事件的详细信息，包括：
   • 时间戳 — 事件的日期和时间。
   • 事件元数据 — 与事件相关的元数据。
3. 设备详情 触发警报 — 事件发生终端的信息。

事件详情 事件 在

定时触发警报

— 具体事件属性，如源端点IP、目标端点IP、端口号、协议等。

审查事件详情，如果活动可疑，点击

1. 狩猎详情面板顶部的 语法 。 经典 。
2. 点击 定时警报 选定事件的警报即被立即触发，并在
3. 除了针对单个事件触发警报外，你还可以安排定期警报，自动按设定频率运行查询。这对于持续监控所有管理终端的特定活动模式非常有用——例如，检测某个进程在短时间内异常大量重命名文件。

4. 点击 严重性 警报分配的严重级别（例如低、中、高或关键）。

事件

查询 事件 经验证的威胁狩猎查询。此字段自动填写当前查询内容。

结果满足警报触发条件

根据结果计数触发警报的条件（例如，“大于0”）。 事件 添加警报