当然，上述所有搜索都可以通过AND、OD等逻辑条件进行组合。例如path:/intel/*.exeANDbehavior_network:*/RguhsT/accept.php*AND。date:yesfile。此外，为了应对更复杂的规则，或者用于狩猎推送或扫描，可以支持yara、sigma、定制引擎等相应的规则文件。这个功能主要是根据一个文件搜索高度相似的文件。用于操作员拓展和追溯线索。当然，文件的相似性算法有很多，包括模糊hash、导出表、动态行为、字符串、代码块等。有很多具体的相似算法、专利和文章，这里就不具体展开了。

该功能适用于乙方安全运营商或甲方跟踪受控设备。主要包括:当前ioc趋势:每日/月/季/年终端数量趋势图；目前ioc的终端分布图，包括世界，中国，甚至身份，单位等等；ioc着陆终端的信息包括着陆时间、ip、地域等。访问、终端文件等。ip类会比较特殊，一种是出站访问，ip多为C&C等，适用于上述；另一种是入站、扫描器、攻击者或对设备感兴趣的相应ip，这种查询，也需要列出与ip相关的设备信息。终端信息:终端的基本信息(机器名称、系统版本、主板信息、MAC、单元等)。)、ip轨迹、过程信息、网络等。

协同合作平台。本功能适用于安全操作人员，在跟踪某一事件时，需要多人、多时间一起跟踪完成的场景。例如，创建一个调查事件，所有参与者都可以同步相应的线索、相关信息、描述和外部信息。

可采用表格，思维导图，图谱等形式。