انتقل إلى المحتوى

الميزات

عمليات مجموعة البيانات

إدارة مجموعات البيانات المستخدمة في التحليل.

  • get_dataset_status
    استرجاع حالة مجموعة البيانات المحمَّلة حاليًا.

  • list_datasets
    سرد مجموعات بيانات CSV المتاحة للتحليل.
    يدعم ترقيم الصفحات.

  • switch_dataset
    تبديل مجموعة بيانات التحليل النشطة إلى ملف CSV محدد.

  • unload_dataset
    إلغاء تحميل جدول logs الحالي.

  • dataset_profile
    استرجاع ملخص لمجموعة البيانات، يتضمن:

  • إجمالي عدد الأحداث
  • النطاق الزمني
  • أبرز الاتجاهات

يدعم ترقيم الصفحات.

الاستعلام والبحث

البحث في بيانات السجل والاستعلام عنها.

  • run_sql
    تنفيذ استعلام SELECT للقراءة فقط على جدول logs.
    يتضمن قيود أمان مدمجة.

  • search_all_fields
    إجراء عمليات بحث بالكلمات المفتاحية عبر جميع الأعمدة أو أعمدة محددة.
    يدعم ترقيم الصفحات.

  • get_event_detail
    استرجاع حدث واحد بتنسيق Field / Value موسَّع.
    يدعم البحث حسب RecordID أو شروط الاستعلام.

الخط الزمني والتحليلات

تحليل نشاط الهجوم والخطوط الزمنية للأحداث.

  • analyze_mitre_tactics
    إجراء تحليل زمني لمراحل الهجوم مجمَّعة حسب تكتيكات MITRE ATT&CK.

  • analyze_host_timeline
    استخراج الأحداث الزمنية لمضيف محدد.
    مفيد لـتتبع سلسلة الاختراق.

  • correlate_lateral_movement
    ربط نشاط الحركة الجانبية بين المضيفين ضمن نافذة زمنية محددة.

  • summarize_events
    تجميع أحداث السجل حسب حقل محدد.

  • summarize_by_time_window
    عدّ الأحداث حسب النافذة الزمنية:

  • 1h
  • 3h
  • 6h
  • 12h

  • 1d

  • analyze_rule_titles
    تجميع تكرار حدوث RuleTitle مع شروط تصفية اختيارية.

التحليل التفصيلي وتحليل مؤشرات الاختراق

استخراج وتحليل المؤشرات من تفاصيل السجل.

  • parse_details_field
    استخراج أزواج المفتاح/القيمة من حقل Details.
    يدعم السرد والتجميع الفريد.

  • extract_iocs
    استخراج مؤشرات الاختراق (IOCs) من Details و ExtraFieldInfo، مصنَّفة حسب النوع.

  • decode_powershell_commands
    فك ترميز أوامر PowerShell المشفَّرة بـ Base64 الموجودة في الأحداث.