विशेषताएँ¶

डेटासेट संचालन¶

विश्लेषण के लिए उपयोग किए जाने वाले डेटासेट प्रबंधित करें।

get_dataset_status
वर्तमान में लोड किए गए डेटासेट की स्थिति प्राप्त करें।
list_datasets
विश्लेषण के लिए उपलब्ध CSV डेटासेट सूचीबद्ध करें।
पेजिनेशन का समर्थन करता है।
switch_dataset
सक्रिय विश्लेषण डेटासेट को किसी निर्दिष्ट CSV फ़ाइल पर स्विच करें।
unload_dataset
वर्तमान logs तालिका को अनलोड करें।
dataset_profile
डेटासेट का सारांश प्राप्त करें, जिसमें शामिल हैं:
कुल इवेंट गणना
समय सीमा
शीर्ष रुझान

पेजिनेशन का समर्थन करता है।

लॉग डेटा खोजें और क्वेरी करें।

run_sql
logs तालिका के विरुद्ध केवल-पढ़ने योग्य SELECT क्वेरी निष्पादित करें।
इसमें अंतर्निहित सुरक्षा बाधाएँ शामिल हैं।
search_all_fields
सभी स्तंभों या निर्दिष्ट स्तंभों में कीवर्ड खोज करें।
पेजिनेशन का समर्थन करता है।
get_event_detail
किसी एकल इवेंट को विस्तारित Field / Value प्रारूप में प्राप्त करें।
RecordID या क्वेरी शर्तों द्वारा खोज का समर्थन करता है।

हमले की गतिविधि और इवेंट टाइमलाइन का विश्लेषण करें।

analyze_mitre_tactics
MITRE ATT&CK tactics द्वारा समूहित हमले के चरणों का कालानुक्रमिक विश्लेषण करें।
analyze_host_timeline
किसी विशिष्ट होस्ट के लिए कालानुक्रमिक इवेंट निकालें।
compromise chain tracking के लिए उपयोगी।
correlate_lateral_movement
निर्दिष्ट समय विंडो के भीतर होस्ट के बीच लेटरल मूवमेंट गतिविधि को सहसंबद्ध करें।
summarize_events
किसी निर्दिष्ट फ़ील्ड द्वारा लॉग इवेंट को एकत्रित करें।
summarize_by_time_window
समय विंडो द्वारा इवेंट गिनें:
1h
3h
6h
12h
1d
analyze_rule_titles
वैकल्पिक फ़िल्टरिंग शर्तों के साथ RuleTitle घटनाओं की आवृत्ति को एकत्रित करें।

लॉग विवरण से संकेतक निकालें और उनका विश्लेषण करें।

parse_details_field
Details फ़ील्ड से key/value युग्म निकालें।
सूचीकरण और अद्वितीय एकत्रीकरण का समर्थन करता है।
extract_iocs
Details और ExtraFieldInfo से Indicators of Compromise (IOCs) निकालें, प्रकार के अनुसार वर्गीकृत।
decode_powershell_commands
इवेंट में पाए गए Base64-एन्कोडेड PowerShell कमांड को डीकोड करें।