Trabajar en la vista Events Summary (Resumen de eventos)

Barra de búsqueda y filtro
Symantec EDR
proporciona varios métodos para buscar detalles de eventos.
Symantec EDR
valida su consulta y proporciona la indicación de consultas válidas (marca de comprobación verde) o consultas no válidas (X roja).
Los resultados de búsqueda aparecen en la vista de Events Summary (Resumen de eventos). Haga clic en el siguiente vínculo para obtener más información sobre cómo usar la vista Events Summary (Resumen de eventos).
Puede exportar los resultados de búsqueda en formato .csv desde el cuadro de consulta de búsqueda. El informe contiene las mismas columnas que aparecen en
EDR appliance console
y duplica el orden de columnas de
EDR appliance console
.
Para exportar la tabla de resumen de eventos:
  1. Haga clic en la flecha de la lista desplegable situada junto al número de eventos encontrados y haga clic en
    Export
    (Exportar).
  2. Escriba un nombre para su informe.
  3. Haga clic en
    OK
    (Aceptar).
  4. En el cuadro de diálogo de confirmación, haga clic en
    OK
    (Aceptar).
    Acceda al informe exportado en la página
    Reports (Informes) > Export Reports (Exportar informes)
    .
    Los caracteres ASCII extendidos no se procesan correctamente en formato .csv.
Filtros
Formas de filtrar la tabla de resumen de eventos describe las formas de filtrar los resultados de la tabla Events Summary (Resumen de eventos).
Formas de filtrar la tabla de resumen de eventos
Tipo de filtro
Descripción
Procedimiento
Quick filters (Filtros rápidos)
Symantec EDR
proporciona “filtros rápidos” predefinidos para devolver rápidamente información comúnmente deseada.
La lista de filtros rápidos disponibles cambia dependiendo de la página de búsqueda. Por ejemplo, la lista
Search (Buscar) > Database (Base de datos) > Events (Eventos)
del resumen de eventos le permite filtrar por análisis (por ejemplo, SONAR), riesgo (por ejemplo, no bloqueado) y comportamiento (por ejemplo, punto de carga). Mientras que la
Related Events
(Eventos relacionados) en la página File details (Detalles del archivo) solamente le permite que filtrar por comportamiento.
Puede combinar filtros rápidos aplicando operadores (AND, OR) y usando paréntesis para establecer la prioridad de ejecución del filtro.
Consulte Acerca de los filtros rápidos para obtener detalles adicionales.
  1. Haga clic en
    Add Filter
    (Agregar filtro).
  2. En el cuadro de diálogo emergente, seleccione los filtros y los operadores que desee aplicar.
Algunas páginas de búsqueda usan el control
Show Filters
(Mostrar filtros). Estas páginas muestran una matriz de filtros rápidos que se pueden seleccionar o deseleccionar. Consulte el tema vinculado para obtener más información.
Filtros personalizados
Un filtro personalizado se crea cuando realiza una búsqueda o ejecuta un filtro que no es un filtro rápido.
Los filtros personalizados se crean seleccionando primero un campo y luego aplicando un operador (“es”, “no es”, “es uno de”, etc.) y un valor o, si el operador es “entre”, un conjunto de valores. Puede encadenar pares de campo/campo con operadores (AND, OR) y usar paréntesis para establecer la prioridad de ejecución del filtro.
Consulte Acciones de filtro personalizado para ver las acciones que se pueden aplicar a los filtros personalizados.
Los filtros personalizados no persisten cuando cambia de vista o termina una sesión.
Para acceder a las opciones de filtro personalizado:
  1. Haga clic en
    Add Filter
    (Agregar filtro) y, en el cuadro de diálogo emergente, seleccione los filtros y los operadores que desee usar y haga clic en
    Apply
    (Aplicar).
Estadísticas Quick Count (Recuento rápido)
Las estadísticas de recuento rápido son una muestra de datos que representan todos los eventos que ocurrieron en su entorno. En la lista de campos, puede ver los eventos que más ocurren junto con los porcentajes. Puede usar el filtro Quick - Count (Recuento rápido) a fin de crear filtros rápidamente para incluir o excluir valores.
Para acceder a estadísticas de recuento rápido, haga clic en el nombre del campo.
Para incluir solamente los eventos que contienen ese valor, haga clic en el icono del signo más.
Para excluir todos los eventos que incluyen el valor, haga clic en el icono del signo menos.
Acciones de filtro personalizado
Opción de acción
Nombre de acción
Descripción de la acción
Toggle filter (Alternar filtro)
Alternar entre los filtros de inclusión y exclusión.
Edit filter (Editar filtro)
Editar los parámetros del filtro.
Remove filter (Eliminar filtro)
Eliminar el filtro.
Filtros de tiempo
Los filtros de tiempo restringen los resultados de búsqueda a un período de tiempo específico. Puede configurar los filtros de tiempo de las siguientes maneras:
  1. Para configurar el filtro de tiempo usando las opciones de filtro de tiempo
  2. A la derecha de la vista Events Summary (Resumen de eventos), haga clic en el icono de reloj.
    De forma predeterminada, el filtro de tiempo se configura en las últimas 24 horas.
  3. Realice una de las siguientes tareas:
    Opciones de filtro de tiempo
    Haga clic en...
    y, a continuación, en...
    Para configurar un filtro rápido
    Quick (Rápido)
    Haga clic en uno de los marcos de tiempo predefinidos.
    Para configurar un período de tiempo en relación con el intervalo actual
    Relative (Relativo)
    Escriba un período de tiempo en segundos, minutos, horas, días, meses o años atrás y, a continuación, haga clic en
    Go
    (Ir).
    Para configurar una hora de inicio y una hora de finalización
    Absolute (Absoluto)
    Use el widget de calendario para seleccionar un rango de fechas. Es posible ajustar el intervalo de editando los campos
    To
    (Hasta) y
    From
    (Desde).
  4. Haga clic en el quilate sobre la barra de consulta para cerrar las opciones de filtro de tiempo.
  5. Para configurar el filtro de tiempo desde el histograma
  6. En el histograma, coloque el cursor en la barra que representa el comienzo del intervalo que desee ver.
  7. Arrastre el cursor hacia adelante o atrás en el intervalo específico que desee ver.
    Consejo:
    Haga clic en la opción Back (Atrás) del navegador para deshacer los cambios.
  8. Use la lista desplegable
    Histogram interval
    (Intervalo del histograma) para seleccionar la cantidad de tiempo que representa cada barra del histograma.
    Para algunos intervalos,
    Symantec EDR
    escala el intervalo a un valor más grande. El escalado se realiza cuando los intervalos pequeños producen más depósitos de histograma de los que se pueden mostrar razonablemente.
Listas de campos
Las listas de campos le permiten personalizar qué campos aparecen como columnas en el resumen de eventos. Las estadísticas Quick - Count (Recuento rápido) también están disponibles en la lista de campos.
Qué puede hacer en la lista de campos
Opción/vínculo de acción
Descripción de la acción
Agregar una columna.
Eliminar una columna.
Acceder a estadísticas de recuento rápido.
Resumen de eventos
El resumen de eventos muestra los eventos que coinciden con la consulta de búsqueda. Haga clic en el siguiente vínculo para obtener más información sobre type_ids.
Qué puede hacer desde el resumen de eventos
Opción/vínculo de acción
Descripción de la acción
Ver detalles del evento.
<Nombre del dispositivo>
Examinar los detalles del endpoint.
<Nombre de archivo>
Examinar los detalles del archivo.
<Nombre de dominio>
Examinar los detalles del dominio.
Eliminar una columna.
Ordenar una columna (disponible solamente si el campo está indizado).
Mover una columna a la izquierda o la derecha.
Detalles de eventos
Cuando expande un elemento en el resumen de eventos, verá todos los datos que están disponibles para ese evento. Para obtener más información acerca de las descripciones de campo, consulte la
Guía de referencia del campo de búsqueda de
Symantec™ Endpoint Detection and Response
.
Qué puede hacer desde los detalles del evento
Opción/vínculo de acción
Descripción de la acción
Incluir solamente los eventos que incluyen el valor.
Excluir todos los eventos que incluyen el valor.
Alternar una columna desde la tabla Events (Eventos).
Nombre del dispositivo
Examinar los detalles del endpoint.
Nombre de archivo
Examinar los detalles del archivo.
Nombre de dominio
Examinar los detalles del dominio.
Alternar una columna.