Какие возможности предоставляет язык PDQL для анализа и обработки событий в SIEM-системах?

PDQL (Positive Data Query Language) — язык запросов, разработанный компанией Positive Technologies для обработки событий, инцидентов, динамических групп активов и табличных списков в SIEM-системах, например в MaxPatrol SIEM. www.anti-malware.ru securitymedia.org

Некоторые возможности, которые предоставляет PDQL для анализа и обработки событий:

• Эффективная фильтрация. blog.infra-tech.ru С помощью PDQL операторы создают детализированные запросы и выделяют события по таким параметрам, как временные рамки, источник данных, категория события или уровень угрозы. blog.infra-tech.ru
• Ускорение процесса анализа. blog.infra-tech.ru PDQL оптимизирует работу с большими объёмами данных, что позволяет ускорить анализ. blog.infra-tech.ru
• Работа с большими базами активов. habr.com Например, с помощью PDQL-запросов SIEM отбирает из всей базы активов контроллеры домена, а затем сопоставляет их ID и адрес с данными в событии в логах. habr.com
• Реагирование на инциденты. www.anti-malware.ru PDQL-запросы для фильтрации и группировки событий можно копировать и передавать как обычный текст, что позволяет реагировать на инциденты непосредственно со страницы события и быстрее останавливать атаки. www.anti-malware.ru