Можливості¶

Операції з наборами даних¶

Керування наборами даних, що використовуються для аналізу.

get_dataset_status
Отримати статус наразі завантаженого набору даних.
list_datasets
Перелічити доступні набори даних CSV для аналізу.
Підтримує посторінкове відображення.
switch_dataset
Перемкнути активний набір даних для аналізу на вказаний файл CSV.
unload_dataset
Вивантажити поточну таблицю logs.
dataset_profile
Отримати зведення про набір даних, включно з:
загальною кількістю подій
часовим діапазоном
основними тенденціями

Підтримує посторінкове відображення.

Пошук та запити до даних журналів.

run_sql
Виконати запит SELECT лише для читання до таблиці logs.
Включає вбудовані обмеження безпеки.
search_all_fields
Виконати пошук за ключовими словами по всіх стовпцях або вказаних стовпцях.
Підтримує посторінкове відображення.
get_event_detail
Отримати одну подію в розгорнутому форматі Field / Value.
Підтримує пошук за RecordID або умовами запиту.

Аналіз активності атак та часових шкал подій.

analyze_mitre_tactics
Виконати хронологічний аналіз фаз атаки, згрупованих за тактиками MITRE ATT&CK.
analyze_host_timeline
Видобути хронологічні події для конкретного хоста.
Корисно для відстеження ланцюга компрометації.
correlate_lateral_movement
Корелювати активність бічного переміщення між хостами в межах вказаного часового вікна.
summarize_events
Агрегувати події журналу за вказаним полем.
summarize_by_time_window
Підрахувати події за часовим вікном:
1h
3h
6h
12h
1d
analyze_rule_titles
Агрегувати частоту появ RuleTitle з опціональними умовами фільтрації.

Видобути та проаналізувати індикатори з деталей журналів.

parse_details_field
Видобути пари ключ/значення з поля Details.
Підтримує перелік та унікальну агрегацію.
extract_iocs
Видобути Індикатори компрометації (IOC) з Details та ExtraFieldInfo, категоризовані за типом.
decode_powershell_commands
Декодувати команди PowerShell, закодовані Base64, знайдені в подіях.