澄清XDR中的磁貼快取

簡介

本文檔介紹SecureX磁貼中的快取如何工作。

資訊是否在XDR Live Data中？

該問題的答案是否定的。這是因為在XDR中，每個整合和每個磁貼都有一個特定的快取。

過期時間因整合和磁貼本身而異。

例如，您可以使用Umbrella和XDR整合。

首先，驗證整合是否有效且有效，為此，請導航至 Administration > Integrations > Expand My Integrations Section.

確保整合是綠色的，並顯示「已連線」。

導航到Control Center（控制中心），搜尋整合中的一個磁貼。

然後，觸發與XDR中的相應磁貼匹配的事件，可能沒有任何資料填充XDR磁貼。

要更好地瞭解為什麼沒有資料，請導航到感興趣的磁貼，然後按一下 ellipsis (...) > API Information.

您可以視覺化重要資訊，例如：

已觀察到的開始時間和已觀察到的結束時間，此資訊對應於在磁貼中配置的時間，範圍包括24小時、7天、30天等。

有效開始時間，此資訊指示磁貼快取何時啟動。

當前時間，表示瀏覽器中的時間。如果此時間小於以下資訊(Valid End Time)，則必須等到當前時間大於有效結束時間，否則，磁貼中的資訊仍將被快取。

如果您收集並開啟了HAR日誌，則可以檢視事件發生的有效時間並在Umbrella控制面板中關聯事件時間。

您可以在HAR日誌中看到快取過期且新的start_time開始。

注意：在XDR的API資訊中，您可以看到使用的URL，因此您可以檢查您的HAR日誌並進行比較。

快取過期示例

• 安全客戶端 — 電腦摘要：近乎即時
• FMC — 事件摘要：1分鐘
• SMA — 傳入郵件摘要：5分鐘
• Umbrella — 按類別劃分的安全塊（常規）：5分鐘