Panel Consulta avanzada SQL
Para obtener información sobre las cláusulas SQL compatibles con Cytomic Orion, los tipos de datos admitidos y las funciones disponibles consulta Sintaxis SQL del módulo Consultas avanzadas.
Permite construir desde cero o modificar una sentencia SQL previamente almacenada. Contiene los siguientes elementos:
-
Barra de gestión de consultas (1): permite borrar, ejecutar, detener y salvar una consulta ya diseñada.
-
Nombre de la consulta y descripción (2).
-
Panel de diseño de la consulta (3): permite escribir la consulta o modificar una previamente diseñada. Cada línea está numerada y la consola resalta en color azul la sintaxis del lenguaje SQL (palabras clave, símbolos reservados etc.) así como las cadenas de caracteres, para facilitar su lectura.
Barra de gestión de consultas (1)
Permite ejecutar acciones para gestionar las consultas. Contiene los iconos mostrados a continuación:
-
Borrar consulta
: borra la consulta almacenada definida por el analista del SOC y seleccionada en el panel biblioteca. Las consultas predefinidas por Cytomic no se pueden borrar.
-
Limpiar consulta
: borra el contenido del panel Consulta avanzada SQL.
-
Salvar consulta
: al hacer clic en este icono se abre una ventana para introducir el nombre de la consulta y la táctica y técnica a la que pertenecerá dentro del árbol de grupos. Al hacer clic en el botón Aceptar la consulta se añadirá al repositorio de consultas almacenadas. Para mostrar las búsquedas diseñadas por los analistas del MSSP / MDR consulta Guardadas (3).
-
Enviar consulta
y detener consulta
: permite ejecutar y detener la ejecución de la consulta mostrada en el panel Consulta avanzada SQL. Los errores de sintaxis y comunicación se mostrarán en el panel de resultados. También es posible ejecutar la consulta pulsando la combinación Control + Enter en el teclado. Consulta Panel de resultados (3).
Panel de resultados (3)
Presenta los resultados en formato tabla e indica si hay algún error de sintaxis en la sentencia SQL o problema con el servidor. Para filtrar y buscar datos dentro de la tabla consulta Herramientas para configurar los listados.
El panel de resultados dispone de las herramientas siguientes:
-
Buscar
: admite búsquedas parciales que se efectúan sobre el contenido de todos los campos devueltos por la sentencia SQL.
-
Resultados: indica el número de resultados mostrados por la sentencia SQL.
-
Zona horaria: establece la zona horaria de los campos de tipo fecha y del contenido de las búsquedas.
-
Exportar
Menú de contexto asociado a las tablas de resultados
Al hacer clic con el botón derecho del ratón se muestra un menú de contexto con diferentes opciones que permiten al analista acceder a otras áreas de la consola de forma rápida:
| Opción | Descripción |
|---|---|
|
Investigar equipo |
Requiere los campos MUID y DateTime. Abre la consola de investigación para mostrar los eventos registrados en el equipo y fecha indicados. |
|
Añadir entidad de interés |
Marca una entidad para mostrarla en el subpanel Entidades de interés en la investigación asociada, y así permitir un acceso más rápido a la información. |
|
Mostrar equipos con el archivo padre |
Requiere el campo ParentMD5. Lanza una búsqueda de los equipos que tienen algún evento registrado en el campo ParentMD5. Consulta Investigación de un fichero: MD5. |
|
Mostrar equipos con el archivo hijo |
Requiere el campo ChildMD5. Lanza una búsqueda de los equipos que tienen algún evento registrado en el campo ChildMD5. Consulta Desde una investigación recién creada o en curso. |
|
Investigación automatizada |
Muestra una lista de las plantillas de notebooks creadas. El analista podrá abrir una plantilla y Cytomic Orion rellenará automáticamente sus parámetros compatibles con los resultados de la fila seleccionada. Consulta Investigación con notebooks. |
|
Detalles del equipo |
Muestra información del equipo. Requiere el campo MUID. |