Ansichten:

Konstruiere leistungsstarke Abfragezeichenfolgen, um die Daten oder Objekte in deiner Umgebung zu identifizieren, die du untersuchen möchtest.

XDR Data Explorer bietet verschiedene Filter zusammen mit einer Abfragesprache, um Abfrageergebnisse effizient zu identifizieren, zu kategorisieren und abzurufen. Sie können den Prozess automatisieren, indem Sie Abfragen speichern, die Beobachtungsliste konfigurieren und E-Mail-Benachrichtigungen konfigurieren, wenn Sie neue Daten finden.
Die folgende Tabelle zeigt die im XDR-Daten-Explorer (Agentic SIEM & XDRXDR Data Explorer) verfügbaren Aktionen auf.
Aktion
Beschreibung
Erweiterte Vielfalt von Datenquellen aktivieren
Aktivieren Sie den Schalter, um eine Vielzahl von Datenquellen für erweiterte Suchergebnisse abzufragen.
Abfragen ausführen
Wählen Sie ein Data source / processor und Protokolltyp aus den Dropdown-Listen aus und geben Sie dann eine Abfrage und einen Zeitraum an. Klicken Sie auf Run query, um die Abfrage auszuführen.
Hinweis
Hinweis
Die folgenden Protokolltypen sind für Abfragen im XDR-Daten-Explorer verfügbar:
  • Alle
  • Detection events: Ereignisse, die aus Erkennungen im Zusammenhang mit bekannten Bedrohungen und ungewöhnlichem Verhalten korreliert sind
  • Telemetry events: Ereignisse, die aus von verschiedenen Quellen gesammelten Daten korreliert werden, um Sicherheitsbedrohungen in Echtzeit zu überwachen, zu analysieren und darauf zu reagieren
  • Systemereignisse: Ereignisse, die aus verdächtigem Verhalten im Zusammenhang mit Benutzerzugriff, Netzwerkverkehr, Systemen und Software korreliert wurden
Untersuchen Sie Hosts
Wählen Sie Investigate host aus der oberen Dropdown-Liste und geben Sie einen Hostnamen oder eine IP-Adresse an, um Sicherheitsbedrohungen effizient zu suchen und zu überwachen.
Tipp
Tipp
Sie können alle Ergebnisse Ihrer Host-Untersuchung zur weiteren Überwachung zur Registerkarte Host Investigation in der Dashboards-App hinzufügen, indem Sie auf Add Host to Dashboards klicken. Um spezifische Datenquellen-Erkennungen hinzuzufügen, klicken Sie auf Add to Dashboards.
Benutzerdefinierte Filter erstellen
Klicken Sie auf Create custom filter, um benutzerdefinierte Filter basierend auf Abfragen zur Überwachung verdächtiger Ereignisse zu erstellen. Kombinieren Sie mehrere benutzerdefinierte Filter zu benutzerdefinierten Erkennungsmodellen, um den Bedrohungsjagdprozess für Ihre Organisation zu erleichtern.
Nach vordefinierten Bedrohungsjagd-Abfragen suchen
Klicken Sie auf Threat Hunting Queries, um nach vordefinierten Bedrohungsjagd-Abfragen von Trend Micro und Cyborg Security basierend auf bekannten Bedrohungen zu suchen, die Ihnen helfen, leistungsstarke Abfragen in Ihrer eigenen Umgebung zu erstellen.
Abfrageverlauf anzeigen
Klicken Sie auf Abfrageverlauf, um eine Liste der vorherigen Abfragen anzuzeigen.
Klicken Sie auf search=GUID-6FF43673-2DC5-4AF4-9DB1-22D4BB64FDDE=1=de-de=Low.png, um eine vorherige Abfrage zu laden oder eine neue Abfrage zu starten. Trend Micro empfiehlt, Abfragen für die zukünftige Verwendung zu speichern.
Chat mit Trend Companion KI
Klicken Sie auf newCompanionIcon=GUID-20240819112525.jpg, um ein Gespräch mit Trend Companion KI zu beginnen.
Beginnen Sie Ihre Eingaben mit Abfrage, damit Trend Companion KI Abfragen erstellt.
  • Klicken Sie auf Add to Query, um die generierte Abfrage zum Suchfeld hinzuzufügen.
  • Trend Companion KI wählt automatisch die vorgeschlagene Suchmethode aus, wenn Abfragen in das Suchfeld eingegeben werden.
Abfragen speichern
Nach dem Ausführen einer Abfrage klicken Sie auf Save Query, geben Sie einen Namen an und klicken Sie auf Speichern.
  • Gespeicherte Abfragen enthalten keine Abfrageergebnisse.
  • Sie können nur bis zu 200 gespeicherte Abfragen haben.
Gespeicherte Abfragen anzeigen
Klicken Sie auf Saved Queries, um gespeicherte Abfragen anzuzeigen.
Abfragen in der Beobachtungsliste anzeigen
Klicken Sie auf watchlist_button=ed41c963-d16b-4c34-8e1a-7b5926521ac7.png, um alle gespeicherten Abfragen in der Beobachtungsliste anzuzeigen.
Abfrageergebnisansichten auswählen oder ändern
Klicken Sie auf !!View!!, um auszuwählen, wie die Ergebnisse angezeigt werden.
Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Ansicht für Abfrageergebnisse.
Abfrageergebnisansichten importieren
Klicken Sie auf !!View!! und wählen Sie Import Views, um eine oder mehrere JSON-Dateien mit Abfrageergebnisansichten zu importieren.
Abfrageergebnisansichten exportieren
Klicken Sie auf export_button=GUID-C683DEEE-C19C-484D-A5B1-4CA9D1794756=1=de-de=Low.jpg, um die Ansicht in eine JSON-Datei zu exportieren.
Zugehörige Informationen