ข้ามไปที่เนื้อหา

คุณสมบัติ

การจัดการชุดข้อมูล (Dataset Operations)

จัดการชุดข้อมูลที่ใช้สำหรับการวิเคราะห์

  • get_dataset_status
    ดึงสถานะของชุดข้อมูลที่โหลดอยู่ในปัจจุบัน

  • list_datasets
    แสดงรายการชุดข้อมูล CSV ที่พร้อมใช้งานสำหรับการวิเคราะห์
    รองรับการแบ่งหน้า (pagination)

  • switch_dataset
    สลับชุดข้อมูลที่ใช้วิเคราะห์อยู่ไปยังไฟล์ CSV ที่ระบุ

  • unload_dataset
    ยกเลิกการโหลดตาราง logs ปัจจุบัน

  • dataset_profile
    ดึงสรุปของชุดข้อมูล ซึ่งประกอบด้วย:

  • จำนวนเหตุการณ์ทั้งหมด
  • ช่วงเวลา
  • แนวโน้มอันดับต้น ๆ

รองรับการแบ่งหน้า (pagination)


ค้นหาและสืบค้นข้อมูลบันทึก (log data)

  • run_sql
    ดำเนินการคิวรี SELECT แบบอ่านอย่างเดียวกับตาราง logs
    มีข้อจำกัดด้านความปลอดภัยในตัว

  • search_all_fields
    ทำการค้นหาด้วยคีย์เวิร์ดในทุกคอลัมน์หรือคอลัมน์ที่ระบุ
    รองรับการแบ่งหน้า (pagination)

  • get_event_detail
    ดึงเหตุการณ์เดียวในรูปแบบ Field / Value แบบขยาย
    รองรับการค้นหาด้วย RecordID หรือเงื่อนไขคิวรี


ไทม์ไลน์และการวิเคราะห์ (Timeline & Analytics)

วิเคราะห์กิจกรรมการโจมตีและไทม์ไลน์ของเหตุการณ์

  • analyze_mitre_tactics
    ทำการวิเคราะห์ตามลำดับเวลาของระยะการโจมตีโดยจัดกลุ่มตาม MITRE ATT&CK tactics

  • analyze_host_timeline
    สกัดเหตุการณ์ตามลำดับเวลาสำหรับโฮสต์ที่ระบุ
    มีประโยชน์สำหรับ การติดตามห่วงโซ่การบุกรุก (compromise chain tracking)

  • correlate_lateral_movement
    เชื่อมโยงกิจกรรมการเคลื่อนที่ทางด้านข้าง (lateral movement) ระหว่างโฮสต์ภายในช่วงเวลาที่ระบุ

  • summarize_events
    รวบรวมเหตุการณ์บันทึกตามฟิลด์ที่ระบุ

  • summarize_by_time_window
    นับเหตุการณ์ตามช่วงเวลา:

  • 1h
  • 3h
  • 6h
  • 12h
  • 1d

  • analyze_rule_titles
    รวบรวมความถี่ของการเกิด RuleTitle พร้อมเงื่อนไขการกรองที่เลือกได้


การวิเคราะห์รายละเอียดและ IOC (Detail & IOC Analysis)

สกัดและวิเคราะห์ตัวบ่งชี้จากรายละเอียดบันทึก

  • parse_details_field
    สกัดคู่คีย์/ค่า (key/value) จากฟิลด์ Details
    รองรับการแสดงรายการและการรวมค่าที่ไม่ซ้ำ (unique aggregation)

  • extract_iocs
    สกัด ตัวบ่งชี้การถูกบุกรุก (Indicators of Compromise – IOCs) จาก Details และ ExtraFieldInfo โดยจัดหมวดหมู่ตามประเภท

  • decode_powershell_commands
    ถอดรหัสคำสั่ง PowerShell ที่เข้ารหัสแบบ Base64 ที่พบในเหตุการณ์