Suche
Mit der XDR-Suche können Sie bestimmte Daten im Sophos Data Lake finden.
Sie können nach Indikatoren für eine Bedrohung (Indicators of Compromise, IOCs) oder nach anderen Daten wie IP-Adressen oder Benutzernamen suchen.
Suche erstellen und ausführen
Sie können Suchen auf zwei unterschiedliche Arten erstellen:
- Erstellen Sie eine einfache Suche mit unserem Such-Assistenten. Diese Option ist voreingestellt.
- Erstellen Sie eine erweiterte Suche mit der Abfragesprache Lucene oder per Freitexteingabe.
Wählen Sie unten die entsprechende Registerkarte aus, um Anweisungen zu erhalten.
Grundlegende Suchvorgänge sind einfach zu erstellen.
Sie erstellen eine grundlegende Suche mit unserem interaktiven Such-Assistenten.
-
Gehen Sie zu Bedrohungsanalyse-Center > Suche.
-
Wählen Sie den Zeitraum der Erkennungen aus, die Sie einbeziehen möchten.
-
Wählen Sie die Daten aus, die Sie suchen möchten. Derzeit können Sie nur nach Endpoint-Daten suchen.
-
Klicken Sie in der Suchleiste auf das Symbol „Hinzufügen“, um häufig verwendete Suchfelder anzuzeigen.
-
Klicken Sie im Dialogfenster „Häufig verwendet“ auf ein Feld.
-
Verwenden Sie im Such-Assistenten das Dropdown-Menü, um einen Operator wie
IS
oderINCLUDES
hinzuzufügen, und geben Sie einen Wert ein.Beispiel:
Device IP IS 148.139.13.160
-
Klicken Sie optional auf Zeile, um einen Operator (
AND
,OR
oderNOT
) auszuwählen und ein weiteres Feld hinzuzufügen. Klicken Sie dann auf Hinzufügen.Beispiel:
hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP
-
Wählen Sie optional die Datenfelder aus, die in den Ergebnissen angezeigt werden sollen. Klicken Sie auf Spalten und wählen Sie die gewünschten Felder aus.
-
Klicken Sie auf Suchen. Die Ergebnisse werden im unteren Bereich angezeigt.
-
Klicken Sie auf den Pfeil daneben, um die vollständigen Details einer Erkennung anzuzeigen.
Derzeit können Sie Ihre Suchvorgänge nicht speichern oder Aktionen für die Erkennungen in den Ergebnissen ausführen.
Sie können eine erweiterte Suche erstellen, indem Sie die Abfragesprache Lucene verwenden oder Ihren eigenen Text eingeben.
So erstellen Sie eine erweiterte Suche:
-
Klicken Sie auf Zu erweiterter Abfrage wechseln.
-
Geben Sie in der Suchleiste Datenfelder sowie Parameter oder Freitext ein, wie in den folgenden Abschnitten beschrieben.
- Klicken Sie auf Suchen. Die Ergebnisse werden im unteren Bereich angezeigt.
Datenfelder und Parameter verwenden
Geben Sie das Datenfeld gefolgt von einem Doppelpunkt und dann den Suchparameter ein. Alle Informationen zu den Datenfeldern, die Sie verwenden können, finden Sie unter Datenfelder für die Suche.
Sie können Suchen mit mehreren Datenfeldern erstellen. Hier einige Beispiele:
process_name:lsass AND username:admin OR username:system
sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"
Hilfe finden Sie im Lucene-Tutorial.
Freitexteingabe verwenden
Geben Sie eine Textfolge ein, um nach Erkennungen zu suchen, die den eingegebenen Text enthalten. Verwenden Sie bei Zeichenfolgen wie MAC-Adressen oder IP-Adressen, die Sonderzeichen enthalten, Anführungszeichen in Freitextsuchen.
Hier einige Beispiele:
0a43ff3773e7fcbb9a98029957c41bc3af56ae94
jdoe
"00:00:5e:00:53:af"
Ergebnisliste konfigurieren
Sie können entweder die Standardspalten in den Ergebnissen akzeptieren oder sie ändern und neu anordnen.
Standardspalten
Standardmäßig werden die folgenden Spalten in den Ergebnissen angezeigt.
Spalte | Details |
---|---|
Uhrzeit | - |
kategorie | Beispiel: „Netzwerk“ |
activity_type | Beispiel: „offene Sockets“ |
Hostname | - |
Benutzername | Wird nicht angezeigt, wenn kein Benutzer angemeldet ist, zum Beispiel auf einem Server |
device_IP | - |
Spalten hinzufügen oder entfernen
Sie können die in den Ergebnissen angezeigten Datenspalten ändern und neu anordnen. Um die angezeigten Spalten zu ändern, klicken Sie auf Spalten und wählen Sie die gewünschten Spalten aus.
Spalten neu ordnen
So ändern Sie die Reihenfolge der Spalten in der Ergebnistabelle: