Advanced search cho phép nhân viên vận hành tìm kiếm cảnh báo theo các điều kiện phức tạp. Nhưng để sử dụng tính năng này, bạn cần nắm được cách viết một câu lệnh tìm kiếm hoàn chỉnh, đúng cú pháp. Tài liệu này sẽ mô tả chi tiết về cấu trúc của một câu lệnh, các toán tử tìm kiếm mà VCS - CyCir cung cấp.

Cấu trúc của một câu lệnh

Khi viết câu lệnh, bạn có thể sử dụng tổ hợp phím Ctrl + Space để hiển thị danh sách auto-complete các trường tìm kiếm, toán tử, kiểu dữ liệu của giá trị. Điều này giúp bạn hoàn thiện câu lệnh nhanh hơn, chính xác hơn.


Câu lệnh đơn: Trường thông tin muốn tìm kiếm + Toán tử so sánh + Giá trị cần tìm

severity = "high"
CODE

Trong đó:

  • severity: Trường thông tin muốn tìm kiếm.
  • =: Toán tử so sánh
  • high: Giá trị cần tìm


Câu lệnh ghép: Câu lệnh đơn 1 + Toán tử logic + Câu lệnh đơn 2

severity = "high" AND status = "open"
CODE

Toán tử so sánh

VCS - CyCir hỗ trợ các toán tử so sánh sau:

  • Phép so sánh bằng nhau: Toán tử =. Ví dụ:

    reason_close = "false positive"
    CODE

  • Phép so sánh không bằng nhau: Toán tử !=. Ví dụ:

    category != "Policy"
    CODE

  • Phép so sánh bao hàm: Toán tử ~. Ví dụ:

    object ~ "9516"
    CODE

  • Phép so sánh không bao hàm: Toán tử !~. Ví dụ: 

    type !~ "Malware"
    CODE

Giá trị tìm kiếm

Mỗi loại giá trị tìm kiếm sẽ có các quy tắc nhập riêng:

  • Dạng kí tự (String): Là các kí tự nằm trong dấu nháy kép "". Ví dụ: status = "medium"

    status = "medium"
    CODE


  • Dạng kí tự (Boolean): Có giá trị TRUE hoặc FALSE. Ví dụ:

    unread = TRUE
    CODE


  • Dạng số nguyên (Int): Có giá trị là số nguyên. Ví dụ: number = 123456

    number = 123456
    CODE


  • Giá trị NULL: Có giá trị là NULL. Ví dụ: 

    category != NULL
    CODE


  • Dạng tập giá trị: Có giá trị dạng mảng chứa nhiều giá trị. Ví dụ: Tìm kiếm theo trường organization_group  visc hoặc bitel: 

    organization_group = IN(["visc", "bitel"])
    CODE


Lưu ý: Nếu như giá trị bạn tìm kiếm có chứa kí tự đặc biệt như dấu nháy kép " thì bạn cần nhập thêm kí tự escape \ vào trước.

Ví dụ: 

description = "Máy tính có IP: \"192.168.1.1\" đang bị nhiễm mã độc"
CODE

Toán tử logic

VCS - CyCir hỗ trợ 2 loại toán tử logic là AND và OR để liên kết nhiều câu lệnh đơn:

  • Phép AND: A AND B, câu tìm kiếm với điều kiện đồng thời thỏa mãn A và B. Ví dụ: 

    severity = "high" AND source_log = "threat_intelligence"
    CODE


  • Phép OR: A OR B, câu tìm kiếm với điều kiện thỏa mãn A hoặc B. Ví dụ: 

    source_log = "threat_intelligence" OR object ~ 9516
    CODE