为调查添加数据
打开调查时,可以添加以下类型的数据:
- 端点或资产数据
- 网络数据
- 原始数据
只能在Windows机器上向调查添加端点或资产数据。
端点的工作数据
您可以将端点数据添加到调查以查看流程和取证数据,例如DNS缓存、已安装的服务或注册表项等。
将端点数据添加到调查中:
- 选择添加端点作业数据从下拉。
- 选择你想要运行的任务。配置所需的任何额外细节。
- 添加一个或多个端点或添加资产组。
- 点击保存.
收集到的数据将作为“演员”出现在调查时间轴上。
网络数据
您可以从网络中添加特定日期范围和特定用户的数据。可用网络数据列表为:
- 账户修改
- 先进的恶意软件警告
- 资产的身份验证
- 云服务帐号修改
- DNS查询
- 防火墙
- id
- 进入认证
- 病毒感染
- Web代理
向调查中添加网络数据:
- 选择添加网络数据从下拉。
- 选择日期范围。
- 选择要添加为调查参与者的用户或资产。
- 点击保存.
添加的用户和资产将以参与者的身份出现在调查时间轴上。
日志数据
由InsightIDR摄取的任何日志数据都可以作为调查数据使用。
将日志数据添加到调查中:
- 选择添加日志数据从下拉。
- 选择一个或多个日志或日志集。
- 定义您的查询。看到日志搜索有关编写查询的更多信息。
- 找到所需的日志数据。
- 选择发送到调查将日志数据添加为Actor。完成此操作后,您将能够向所选日志添加上下文。
- 点击保存.日志线将出现在调查时间线。
这个页面对你有帮助吗?