คุณสมบัติ¶

การจัดการชุดข้อมูล (Dataset Operations)¶

จัดการชุดข้อมูลที่ใช้สำหรับการวิเคราะห์

get_dataset_status
ดึงสถานะของชุดข้อมูลที่โหลดอยู่ในปัจจุบัน
list_datasets
แสดงรายการชุดข้อมูล CSV ที่พร้อมใช้งานสำหรับการวิเคราะห์
รองรับการแบ่งหน้า (pagination)
switch_dataset
สลับชุดข้อมูลที่ใช้วิเคราะห์อยู่ไปยังไฟล์ CSV ที่ระบุ
unload_dataset
ยกเลิกการโหลดตาราง logs ปัจจุบัน
dataset_profile
ดึงสรุปของชุดข้อมูล ซึ่งประกอบด้วย:
จำนวนเหตุการณ์ทั้งหมด
ช่วงเวลา
แนวโน้มอันดับต้น ๆ

รองรับการแบ่งหน้า (pagination)

ค้นหาและสืบค้นข้อมูลบันทึก (log data)

run_sql
ดำเนินการคิวรี SELECT แบบอ่านอย่างเดียวกับตาราง logs
มีข้อจำกัดด้านความปลอดภัยในตัว
search_all_fields
ทำการค้นหาด้วยคีย์เวิร์ดในทุกคอลัมน์หรือคอลัมน์ที่ระบุ
รองรับการแบ่งหน้า (pagination)
get_event_detail
ดึงเหตุการณ์เดียวในรูปแบบ Field / Value แบบขยาย
รองรับการค้นหาด้วย RecordID หรือเงื่อนไขคิวรี

วิเคราะห์กิจกรรมการโจมตีและไทม์ไลน์ของเหตุการณ์

analyze_mitre_tactics
ทำการวิเคราะห์ตามลำดับเวลาของระยะการโจมตีโดยจัดกลุ่มตาม MITRE ATT&CK tactics
analyze_host_timeline
สกัดเหตุการณ์ตามลำดับเวลาสำหรับโฮสต์ที่ระบุ
มีประโยชน์สำหรับ การติดตามห่วงโซ่การบุกรุก (compromise chain tracking)
correlate_lateral_movement
เชื่อมโยงกิจกรรมการเคลื่อนที่ทางด้านข้าง (lateral movement) ระหว่างโฮสต์ภายในช่วงเวลาที่ระบุ
summarize_events
รวบรวมเหตุการณ์บันทึกตามฟิลด์ที่ระบุ
summarize_by_time_window
นับเหตุการณ์ตามช่วงเวลา:
1h
3h
6h
12h
1d
analyze_rule_titles
รวบรวมความถี่ของการเกิด RuleTitle พร้อมเงื่อนไขการกรองที่เลือกได้

สกัดและวิเคราะห์ตัวบ่งชี้จากรายละเอียดบันทึก

parse_details_field
สกัดคู่คีย์/ค่า (key/value) จากฟิลด์ Details
รองรับการแสดงรายการและการรวมค่าที่ไม่ซ้ำ (unique aggregation)
extract_iocs
สกัด ตัวบ่งชี้การถูกบุกรุก (Indicators of Compromise – IOCs) จาก Details และ ExtraFieldInfo โดยจัดหมวดหมู่ตามประเภท
decode_powershell_commands
ถอดรหัสคำสั่ง PowerShell ที่เข้ารหัสแบบ Base64 ที่พบในเหตุการณ์