Pivot-Abfragen

Mit Pivot-Abfragen können Sie schnell neue Abfragen basierend auf Live-Discover-Ergebnissen ausführen.

Mit einer Pivot-Abfrage können Sie einen wesentlichen Bestandteil Ihrer Daten aus Ihren Abfrageergebnissen auswählen und diesen als Grundlage für eine neue Abfrage verwenden.

Verfügbare Pivot-Abfragen finden Sie, indem Sie in der Tabelle der Abfrageergebnisse nach dem Auslassungssymbol Auslassungssymbol neben Zellen suchen.

Beispiel:

  1. Sie führen eine Abfrage aus, um Sophos-PID und Reputation aller laufenden Prozesse zu ermitteln.

    Die Sophos-PID ist eine eindeutige Prozess-ID.

    In den Ergebnissen sehen Sie einen verdächtigen Prozess.
  2. Um zu sehen, wo dieser Prozess noch läuft, suchen Sie nach identifizierenden Daten, auf denen eine neue Abfrage basieren kann.
  3. In der Spalte SHA-256 sehen Sie drei Punkte und klicken darauf.
  4. Im Pivot-Menü werden die verfügbaren Pivot-Abfragen aufgelistet. Prozessaktivität für eine SHA-256 (Data Lake)

    Sie können von einer Data-Lake-Abfrage zu einer Endpoint-Abfrage und zurück wechseln.

    Screenshot der Pivot-Abfrageoptionen

Es wird eine neue Abfrage erstellt, die alle laufenden Prozesse zeigt, die diese SHA-256 gemeinsam nutzen.