- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.8 Работа с пользовательскими запросами
- 10.8.2 Фильтрация на странице "Инциденты"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.8 Работа с пользовательскими запросами
- 10.8.2 Фильтрация на странице "Инциденты"
10.8.2 Фильтрация на странице "Инциденты"
В пользовательском интерфейсе NT SIEM в разделе "Инциденты" данные отображаются от более новых к более старым. Сортировка происходит по полю "Время создания".
Для фильтрации инцидентов необходимо в поле поиска задать запрос и нажать на кнопку:
Далее отобразится таблица с инцидентами, соответствующих условиям запроса.
Существует возможность создания запросов путем нажатия на значение полей в блоке с подробной информацией об инциденте ().
Запросы могут быть представлены вводом искомого значения в строку, тогда система будет искать введенное значение по всем полям всех инцидентов. Для получения выборки по всей фразе необходимо заключать ее в кавычки, например, "Account_was_successfully_logged".
Запросы могут быть организованы в виде пар "ключ:значение". Основной формат ввода состоит из пары, где ключ и значение разделены символом ":". Ключ представляет собой поле события. Значение представляет собой данные, соответствующие ключу. Значения могут быть представлены или в кавычках «" "», или без них.
Для получения выборки по всей фразе в определенном, поле необходимо заключать ее в кавычки, например, name:"Abnormal activity". Однако, если кавычки не используются name:Abnormal activity, то поиск будет производиться согласно синтаксису: name:Abnormal OR (name:Abnormal OR severity:activity), а не такому синтаксису: name:Abnormal AND name:activity.
Следует обратить внимание, что в поисковом запросе: name:Abnormal activity, поиск значения activity будет производиться по всем полям. Все поля описываются в схеме (табл. 6).
Таблица 6 – Схема полей для поиска на странице "Инциденты"
Наименование для поиска
severity
Наименование в пользовательском интерфейсе
Уровень критичности
Наименование для поиска
status
Наименование в пользовательском интерфейсе
Статус
Наименование для поиска
name
Наименование в пользовательском интерфейсе
Наименование инцидента
Наименование для поиска
description
Наименование в пользовательском интерфейсе
Описание инцидента
Наименование для поиска
key_value
Наименование в пользовательском интерфейсе
Идентификатор инцидента
Наименование для поиска
correlation_rule
Наименование в пользовательском интерфейсе
Правило корреляции
Наименование для поиска
source_ipv4
Наименование в пользовательском интерфейсе
Адрес источника в формате ipv4
Наименование для поиска
source_ipv6
Наименование в пользовательском интерфейсе
Адрес источника в формате ipv6
Наименование для поиска
destination_ipv4
Наименование в пользовательском интерфейсе
Адрес назначения в формате ipv4
Наименование для поиска
destination_ipv6
Наименование в пользовательском интерфейсе
Адрес назначения в формате ipv6
Наименование для поиска
created_at
Наименование в пользовательском интерфейсе
Время создания
Наименование для поиска
updated_at
Наименование в пользовательском интерфейсе
Время обновления
Наименование для поиска
created_by_name
Наименование в пользовательском интерфейсе
Пользователь, который создал инцидент
Наименование для поиска
updated_by_name
Наименование в пользовательском интерфейсе
Пользователь, который обновил инцидент
Наименование для поиска
assigned_to_name
Наименование в пользовательском интерфейсе
Ответственный пользователь
| Наименование для поиска | Наименование в пользовательском интерфейсе |
|---|---|
severity | Уровень критичности |
status | Статус |
name | Наименование инцидента |
description | Описание инцидента |
key_value | Идентификатор инцидента |
correlation_rule | Правило корреляции |
source_ipv4 | Адрес источника в формате ipv4 |
source_ipv6 | Адрес источника в формате ipv6 |
destination_ipv4 | Адрес назначения в формате ipv4 |
destination_ipv6 | Адрес назначения в формате ipv6 |
created_at | Время создания |
updated_at | Время обновления |
created_by_name | Пользователь, который создал инцидент |
updated_by_name | Пользователь, который обновил инцидент |
assigned_to_name | Ответственный пользователь |
Для комбинирования нескольких условий используются операторы (табл. 7), которые являются регистронезависимыми.
Таблица 7 – Операторы для фильтрации на странице "Инциденты"
Текстовый оператор
OR
Символ
()
Описание
Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них.
Синтаксис
source_ipv4:"192.168.10.1" OR name:"Incident 1"
Текстовый оператор
AND
Символ
+
Описание
Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки.
Синтаксис
source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1"
Текстовый оператор
Символ
-
Описание
Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов.
Синтаксис
source_ipv4:"192.168.10.1" - name:"Incident 1"
Текстовый оператор
Символ
()
Описание
Используется для группировки операторов.
Синтаксис
(source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity"
Текстовый оператор
Символ
[]
Описание
Используется для поиска по заданному диапазону, включая граничные значения
Синтаксис
created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00]
Текстовый оператор
Символ
{}
Описание
Используется для поиска по заданному диапазону, исключая граничные значения
Синтаксис
created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00}
Текстовый оператор
Символ
IN
Описание
Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR.
Синтаксис
name: IN [test 1, test 2, test 3]
Текстовый оператор
Символ
*
Описание
Используется для поиска по всем полям.
Синтаксис
* -source_ipv4:"1.1.1.1"
Текстовый оператор
Символ
~
Описание
Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах.
Синтаксис
description: "тест русском" ~1
| Текстовый оператор | Символ | Описание | Синтаксис |
|---|---|---|---|
OR | () | Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них. | source_ipv4:"192.168.10.1" OR name:"Incident 1" |
AND | + | Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки. | source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1" |
- | Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов. | source_ipv4:"192.168.10.1" - name:"Incident 1" | |
() | Используется для группировки операторов. | (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity" | |
[] | Используется для поиска по заданному диапазону, включая граничные значения | created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00] | |
{} | Используется для поиска по заданному диапазону, исключая граничные значения | created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00} | |
IN | Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR. | name: IN [test 1, test 2, test 3] | |
* | Используется для поиска по всем полям. | * -source_ipv4:"1.1.1.1" | |
~ | Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах. | description: "тест русском" ~1 |
При необходимости использования кавычек как часть поискового запроса следует использовать специальный синтаксис при помощи символа «\»:
Block of code
description:"Incident of type \"Significally dangerouse\" be careful"
Пример валидного запроса. Отфильтровать инциденты по условию: показать все инциденты, кроме тех, у кого адрес источника IP-адрес «1.1.1.1» и тех, у кого IP-адрес назначения «2.2.2.2»:
Block of code
* -source_ipv4:"1.1.1.1" -destination_ipv4:"2.2.2.2"
Пример валидного запроса. Отфильтровать инциденты по условию: показать инцидент c ID «11»:
Block of code
key_value:"11"
Пример невалидного запроса. Отфильтровать инциденты по условию: время создания от 15.11.2025 по 16.11.2025. Запрос является невалидным, так как диапазон указывается в «[]» или «{}» через «TO».
created_at:2025-11-15T11:00:00.0+03:00 - 2025-11-16T11:00:00.0+03:00
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.8 Работа с пользовательскими запросами
- 10.8.2 Фильтрация на странице "Инциденты"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.8 Работа с пользовательскими запросами
- 10.8.2 Фильтрация на странице "Инциденты"
10.8.2 Фильтрация на странице "Инциденты"
В пользовательском интерфейсе NT SIEM в разделе "Инциденты" данные отображаются от более новых к более старым. Сортировка происходит по полю "Время создания".
Для фильтрации инцидентов необходимо в поле поиска задать запрос и нажать на кнопку:
Далее отобразится таблица с инцидентами, соответствующих условиям запроса.
Существует возможность создания запросов путем нажатия на значение полей в блоке с подробной информацией об инциденте ().
Запросы могут быть представлены вводом искомого значения в строку, тогда система будет искать введенное значение по всем полям всех инцидентов. Для получения выборки по всей фразе необходимо заключать ее в кавычки, например, "Account_was_successfully_logged".
Запросы могут быть организованы в виде пар "ключ:значение". Основной формат ввода состоит из пары, где ключ и значение разделены символом ":". Ключ представляет собой поле события. Значение представляет собой данные, соответствующие ключу. Значения могут быть представлены или в кавычках «" "», или без них.
Для получения выборки по всей фразе в определенном, поле необходимо заключать ее в кавычки, например, name:"Abnormal activity". Однако, если кавычки не используются name:Abnormal activity, то поиск будет производиться согласно синтаксису: name:Abnormal OR (name:Abnormal OR severity:activity), а не такому синтаксису: name:Abnormal AND name:activity.
Следует обратить внимание, что в поисковом запросе: name:Abnormal activity, поиск значения activity будет производиться по всем полям. Все поля описываются в схеме (табл. 6).
Таблица 6 – Схема полей для поиска на странице "Инциденты"
Наименование для поиска
severity
Наименование в пользовательском интерфейсе
Уровень критичности
Наименование для поиска
status
Наименование в пользовательском интерфейсе
Статус
Наименование для поиска
name
Наименование в пользовательском интерфейсе
Наименование инцидента
Наименование для поиска
description
Наименование в пользовательском интерфейсе
Описание инцидента
Наименование для поиска
key_value
Наименование в пользовательском интерфейсе
Идентификатор инцидента
Наименование для поиска
correlation_rule
Наименование в пользовательском интерфейсе
Правило корреляции
Наименование для поиска
source_ipv4
Наименование в пользовательском интерфейсе
Адрес источника в формате ipv4
Наименование для поиска
source_ipv6
Наименование в пользовательском интерфейсе
Адрес источника в формате ipv6
Наименование для поиска
destination_ipv4
Наименование в пользовательском интерфейсе
Адрес назначения в формате ipv4
Наименование для поиска
destination_ipv6
Наименование в пользовательском интерфейсе
Адрес назначения в формате ipv6
Наименование для поиска
created_at
Наименование в пользовательском интерфейсе
Время создания
Наименование для поиска
updated_at
Наименование в пользовательском интерфейсе
Время обновления
Наименование для поиска
created_by_name
Наименование в пользовательском интерфейсе
Пользователь, который создал инцидент
Наименование для поиска
updated_by_name
Наименование в пользовательском интерфейсе
Пользователь, который обновил инцидент
Наименование для поиска
assigned_to_name
Наименование в пользовательском интерфейсе
Ответственный пользователь
| Наименование для поиска | Наименование в пользовательском интерфейсе |
|---|---|
severity | Уровень критичности |
status | Статус |
name | Наименование инцидента |
description | Описание инцидента |
key_value | Идентификатор инцидента |
correlation_rule | Правило корреляции |
source_ipv4 | Адрес источника в формате ipv4 |
source_ipv6 | Адрес источника в формате ipv6 |
destination_ipv4 | Адрес назначения в формате ipv4 |
destination_ipv6 | Адрес назначения в формате ipv6 |
created_at | Время создания |
updated_at | Время обновления |
created_by_name | Пользователь, который создал инцидент |
updated_by_name | Пользователь, который обновил инцидент |
assigned_to_name | Ответственный пользователь |
Для комбинирования нескольких условий используются операторы (табл. 7), которые являются регистронезависимыми.
Таблица 7 – Операторы для фильтрации на странице "Инциденты"
Текстовый оператор
OR
Символ
()
Описание
Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них.
Синтаксис
source_ipv4:"192.168.10.1" OR name:"Incident 1"
Текстовый оператор
AND
Символ
+
Описание
Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки.
Синтаксис
source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1"
Текстовый оператор
Символ
-
Описание
Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов.
Синтаксис
source_ipv4:"192.168.10.1" - name:"Incident 1"
Текстовый оператор
Символ
()
Описание
Используется для группировки операторов.
Синтаксис
(source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity"
Текстовый оператор
Символ
[]
Описание
Используется для поиска по заданному диапазону, включая граничные значения
Синтаксис
created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00]
Текстовый оператор
Символ
{}
Описание
Используется для поиска по заданному диапазону, исключая граничные значения
Синтаксис
created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00}
Текстовый оператор
Символ
IN
Описание
Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR.
Синтаксис
name: IN [test 1, test 2, test 3]
Текстовый оператор
Символ
*
Описание
Используется для поиска по всем полям.
Синтаксис
* -source_ipv4:"1.1.1.1"
Текстовый оператор
Символ
~
Описание
Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах.
Синтаксис
description: "тест русском" ~1
| Текстовый оператор | Символ | Описание | Синтаксис |
|---|---|---|---|
OR | () | Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них. | source_ipv4:"192.168.10.1" OR name:"Incident 1" |
AND | + | Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки. | source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1" |
- | Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов. | source_ipv4:"192.168.10.1" - name:"Incident 1" | |
() | Используется для группировки операторов. | (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity" | |
[] | Используется для поиска по заданному диапазону, включая граничные значения | created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00] | |
{} | Используется для поиска по заданному диапазону, исключая граничные значения | created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00} | |
IN | Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR. | name: IN [test 1, test 2, test 3] | |
* | Используется для поиска по всем полям. | * -source_ipv4:"1.1.1.1" | |
~ | Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах. | description: "тест русском" ~1 |
При необходимости использования кавычек как часть поискового запроса следует использовать специальный синтаксис при помощи символа «\»:
Block of code
description:"Incident of type \"Significally dangerouse\" be careful"
Пример валидного запроса. Отфильтровать инциденты по условию: показать все инциденты, кроме тех, у кого адрес источника IP-адрес «1.1.1.1» и тех, у кого IP-адрес назначения «2.2.2.2»:
Block of code
* -source_ipv4:"1.1.1.1" -destination_ipv4:"2.2.2.2"
Пример валидного запроса. Отфильтровать инциденты по условию: показать инцидент c ID «11»:
Block of code
key_value:"11"
Пример невалидного запроса. Отфильтровать инциденты по условию: время создания от 15.11.2025 по 16.11.2025. Запрос является невалидным, так как диапазон указывается в «[]» или «{}» через «TO».
created_at:2025-11-15T11:00:00.0+03:00 - 2025-11-16T11:00:00.0+03:00