Microsoft哨兵在原始有效载荷中搜索字符串
Microsoft哨兵在原始有效载荷中搜索字符串
提问于 2022-02-07 20:43:57
我试图找出微软哨兵是否有办法在所有数据连接器和日志中执行搜索。这是一种类似于IBM提供的功能,在该功能中,可以对所有日志源执行搜索,并对其原始syslog形式中保存的所有日志进行有效负载概述。
我想在哨兵中使用QRadar查询格式:
从事件中选择UTF8(有效载荷),UTF8(有效载荷) ILIKE 'search‘持续24小时
这是一个非常有用的特性,尤其是在对日志和调试规则进行反分析时。
谢谢。
回答 1
Stack Overflow用户
发布于 2022-02-07 20:56:36
您可以使用search操作符。与特定于表和列的文本过滤相比,search运算符的效率要低得多.
https://learn.microsoft.com/en-us/azure/data-explorer/kusto/query/searchoperator?pivots=azuremonitor
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/71025151
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号