Ansichten:

Konstruiere leistungsstarke Abfragezeichenfolgen, um die Daten oder Objekte in deiner Umgebung zu identifizieren, die du untersuchen möchtest.

XDR Data Explorer bietet verschiedene Filter zusammen mit einer Abfragesprache, um Abfrageergebnisse effizient zu identifizieren, zu kategorisieren und abzurufen. Sie können den Prozess automatisieren, indem Sie Abfragen speichern, die Beobachtungsliste konfigurieren und E-Mail-Benachrichtigungen konfigurieren, wenn Sie neue Daten finden.
Die folgende Tabelle zeigt die im XDR-Daten-Explorer (Agentic SIEM & XDRXDR Data Explorer) verfügbaren Aktionen auf.
Aktion
Beschreibung
Erweiterte Vielfalt von Datenquellen aktivieren
Aktivieren Sie den Schalter, um eine Vielzahl von Datenquellen für erweiterte Suchergebnisse abzufragen.
Abfragen ausführen
Wählen Sie ein Data source / processor und Protokolltyp aus den Dropdown-Listen aus und geben Sie dann eine Abfrage und einen Zeitraum an. Klicken Sie auf Run query, um die Abfrage auszuführen.
Hinweis
Hinweis
Die folgenden Protokolltypen sind für Abfragen im XDR-Daten-Explorer verfügbar:
  • Alle
  • Detection events: Ereignisse, die aus Erkennungen im Zusammenhang mit bekannten Bedrohungen und ungewöhnlichem Verhalten korreliert sind
  • Telemetry events: Ereignisse, die aus von verschiedenen Quellen gesammelten Daten korreliert werden, um Sicherheitsbedrohungen in Echtzeit zu überwachen, zu analysieren und darauf zu reagieren
  • Systemereignisse: Ereignisse, die aus verdächtigem Verhalten im Zusammenhang mit Benutzerzugriff, Netzwerkverkehr, Systemen und Software korreliert wurden
Untersuchen Sie Hosts
Wählen Sie Investigate host aus der oberen Dropdown-Liste und geben Sie einen Hostnamen oder eine IP-Adresse an, um Sicherheitsbedrohungen effizient zu suchen und zu überwachen.
Tipp
Tipp
Sie können alle Ergebnisse Ihrer Host-Untersuchung zur weiteren Überwachung zur Registerkarte Host Investigation in der Dashboards-App hinzufügen, indem Sie auf Add Host to Dashboards klicken. Um spezifische Datenquellen-Erkennungen hinzuzufügen, klicken Sie auf Add to Dashboards.
Benutzerdefinierte Filter erstellen
Klicken Sie auf Create custom filter, um benutzerdefinierte Filter basierend auf Abfragen zur Überwachung verdächtiger Ereignisse zu erstellen. Kombinieren Sie mehrere benutzerdefinierte Filter zu benutzerdefinierten Erkennungsmodellen, um den Bedrohungsjagdprozess für Ihre Organisation zu erleichtern.
Nach vordefinierten Bedrohungsjagd-Abfragen suchen
Klicken Sie auf Threat Hunting Queries, um nach vordefinierten Bedrohungsjagd-Abfragen von TrendAI™ und Cyborg Security basierend auf bekannten Bedrohungen zu suchen, die Ihnen helfen, leistungsstarke Abfragen in Ihrer eigenen Umgebung zu erstellen.
Abfrageverlauf anzeigen
Klicken Sie auf Abfrageverlauf, um eine Liste der vorherigen Abfragen anzuzeigen.
Klicken Sie auf search=GUID-6FF43673-2DC5-4AF4-9DB1-22D4BB64FDDE=1=de-de=Low.png, um eine vorherige Abfrage zu laden oder eine neue Abfrage zu starten. TrendAI™ empfiehlt, Abfragen für die zukünftige Verwendung zu speichern.
Chat mit TrendAI™ Companion
Klicken Sie auf newCompanionIcon=GUID-20240819112525.jpg, um ein Gespräch mit TrendAI™ Companion zu beginnen.
Beginnen Sie Ihre Eingaben mit Abfrage, damit TrendAI™ Companion Abfragen erstellt.
  • Klicken Sie auf Add to Query, um die generierte Abfrage zum Suchfeld hinzuzufügen.
  • TrendAI™ Companion wählt automatisch die vorgeschlagene Suchmethode aus, wenn Abfragen in das Suchfeld eingegeben werden.
Abfragen speichern
Nach dem Ausführen einer Abfrage klicken Sie auf Save Query, geben Sie einen Namen an und klicken Sie auf Speichern.
  • Gespeicherte Abfragen enthalten keine Abfrageergebnisse.
  • Sie können nur bis zu 200 gespeicherte Abfragen haben.
Gespeicherte Abfragen anzeigen
Klicken Sie auf Saved Queries, um gespeicherte Abfragen anzuzeigen.
Abfragen in der Beobachtungsliste anzeigen
Klicken Sie auf watchlist_button=ed41c963-d16b-4c34-8e1a-7b5926521ac7.png, um alle gespeicherten Abfragen in der Beobachtungsliste anzuzeigen.
Abfrageergebnisansichten auswählen oder ändern
Klicken Sie auf !!View!!, um auszuwählen, wie die Ergebnisse angezeigt werden.
Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Ansicht für Abfrageergebnisse.
Abfrageergebnisansichten importieren
Klicken Sie auf !!View!! und wählen Sie Import Views, um eine oder mehrere JSON-Dateien mit Abfrageergebnisansichten zu importieren.
Abfrageergebnisse exportieren
Klicken Sie auf export_button=GUID-C683DEEE-C19C-484D-A5B1-4CA9D1794756=1=de-de=Low.jpg und wählen Sie im Dropdown-Menü, um bis zu maximal 1.000.000 Abfrageergebnisse im CSV- oder JSON-Format zu exportieren.
Zugehörige Informationen