簡介
本文檔介紹SecureX磁貼中的快取如何工作。
資訊是否在XDR Live Data中?
該問題的答案是否定的。這是因為在XDR中,每個整合和每個磁貼都有一個特定的快取。
過期時間因整合和磁貼本身而異。
例如,您可以使用Umbrella和XDR整合。
首先,驗證整合是否有效且有效,為此,請導航至 Administration > Integrations > Expand My Integrations Section.
確保整合是綠色的,並顯示「已連線」。
導航到Control Center(控制中心),搜尋整合中的一個磁貼。
然後,觸發與XDR中的相應磁貼匹配的事件,可能沒有任何資料填充XDR磁貼。
要更好地瞭解為什麼沒有資料,請導航到感興趣的磁貼,然後按一下 ellipsis (...) > API Information.
您可以視覺化重要資訊,例如:
已觀察到的開始時間和已觀察到的結束時間,此資訊對應於在磁貼中配置的時間,範圍包括24小時、7天、30天等。
有效開始時間,此資訊指示磁貼快取何時啟動。
當前時間,表示瀏覽器中的時間。如果此時間小於以下資訊(Valid End Time),則必須等到當前時間大於有效結束時間,否則,磁貼中的資訊仍將被快取。
如果您收集並開啟了HAR日誌,則可以檢視事件發生的有效時間並在Umbrella控制面板中關聯事件時間。
您可以在HAR日誌中看到快取過期且新的start_time開始。
注意:在XDR的API資訊中,您可以看到使用的URL,因此您可以檢查您的HAR日誌並進行比較。
快取過期示例
- 安全客戶端 — 電腦摘要:近乎即時
- FMC — 事件摘要:1分鐘
- SMA — 傳入郵件摘要:5分鐘
- Umbrella — 按類別劃分的安全塊(常規):5分鐘