Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=ai-search

KI-Suche

Sie müssen dem Early-Access-Programm „Neue KI-Funktionen“ beitreten, um diese Funktion verwenden zu können.

Mit KI-Suche können Sie Daten im Sophos Data Lake suchen, ohne SQL-Abfragen zu schreiben.

Die KI-Suche kann Erkennungen und Endpoint-Daten im Data Lake finden. Sie können nach Indikatoren für eine Bedrohung (Indicators of Compromise, IoCs) oder nach anderen Daten wie IP-Adressen, Benutzernamen, Dateien oder Endpoint-Aktivität suchen.

KI-Suche schlägt Abfragen vor, die Sie ausführen können, oder erstellt Abfragen, die auf den von Ihnen eingegebenen Fragen in natürlicher Sprache basieren. Sie müssen keine SQL-Abfragen schreiben.

Abfragen ausführen

Sie können entweder von uns vorgeschlagene Abfragen verwenden oder eigene Abfragen erstellen.

Vorgeschlagene Abfrage verwenden

Gehen Sie wie folgt vor, um eine vorgeschlagene Abfrage zu verwenden:

  1. Gehen Sie zu Bedrohungsanalyse-Center > KI-Suche.

  2. Wählen Sie im Menü links auf der Seite die Daten aus, die Sie durchsuchen möchten:

    • Mit Erkennungen können Sie Daten in Bedrohungserkennungen abfragen.
    • Endpoint-Daten ermöglicht Ihnen, Daten zu Ihren Geräten und Aktivitäten auf diesen abzufragen.

    Dropdown-Menü für Suchtypen.

  3. Wenn Sie die KI-Suche zum ersten Mal nach der Anmeldung bei Sophos Central öffnen, sehen Sie vorgeschlagene Abfragen unter der Suchleiste.

    Die Vorschläge werden nach dem Zufallsprinzip aus unserer Liste vorkonfigurierter Abfragen ausgewählt.

    Bei jedem Öffnen der KI-Suchseite werden unterschiedliche Abfragen angezeigt. Um weitere Informationen anzuzeigen, aktualisieren Sie die Seite.

    Vorgeschlagene Abfragen.

  4. Klicken Sie auf eine Abfrage.

    Wenn die Abfrage in der Suchleiste angezeigt wird, können Sie sie nach Bedarf ändern. Sie könnten zum Beispiel einen Zeitraum wie „in den letzten 30 Tagen“ am Ende der Abfrage eingeben.

  5. Klicken Sie auf Suche.

    Die Abfrage wird ausgeführt und die Ergebnisse werden in einer Tabelle angezeigt:

    • Die Tabelle kann maximal 1.000 Ergebnisse anzeigen.
    • Die Daten werden 90 Tage lang aufbewahrt (oder 1 Jahr, wenn Sie über eine Add-On-Lizenz für Central Data Storage – 1-Jahr-Paket verfügen).

Erstellen einer Abfrage

Um Ihre eigene Abfrage zu erstellen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Bedrohungsanalyse-Center > KI-Suche.

  2. Wählen Sie im Menü links auf der Seite die Daten aus, die Sie durchsuchen möchten:

    • Mit Erkennungen können Sie Daten in Bedrohungserkennungen abfragen.
    • Endpoint-Daten ermöglicht Ihnen, Daten zu Ihren Geräten und Aktivitäten auf diesen abzufragen.

    Dropdown-Menü für Suchtypen.

  3. Geben Sie in der Suchleiste eine Abfrage in Ihren eigenen Worten ein.

    Vom Kunden eingegebene Anfrage.

  4. Klicken Sie auf Suche.

    Die Abfrage wird ausgeführt und die Ergebnisse werden in einer Tabelle angezeigt.

    • Die Tabelle kann maximal 1.000 Ergebnisse anzeigen.
    • Die Daten werden 90 Tage lang aufbewahrt (oder 1 Jahr, wenn Sie über eine Add-On-Lizenz für Central Data Storage – 1-Jahr-Paket verfügen).

Wenn Sie die Abfrage in Zukunft erneut verwenden möchten, speichern Sie sie. Sie können sie später auf der KI-Suchseite oder in Live Discover ausführen. Siehe Abfrage speichern.

Um die SQL-Syntax für Ihre Abfrage anzuzeigen, blenden Sie den Erzeugte Abfrage ein.

SQL-Details zu generierter Abfrage.

Zeitbereich festlegen fest

Standardmäßig haben Abfragen einen Zeitbereich von 24 Stunden.

Um den Zeitbereich zu ändern, fügen Sie den gewünschten Zeitbereich (zum Beispiel „in den letzten 7 Tagen“) in die Abfrage in der Suchleiste ein.

Sie können entweder Ihren Zeitbereich zu einer vorgeschlagenen Abfrage hinzufügen oder ihn in den Wortlaut Ihrer eigenen Abfrage aufnehmen.

Empfehlungen für den Zeitraum

Endpoint Monitoring kann große Datenmengen generieren. Abfragen, die sich über weite Zeitbereiche erstrecken, können also die Performance erheblich beeinträchtigen. Für optimale Ergebnisse gehen Sie wie folgt vor:

  • Grenzen Sie Ihre Abfrage ein: Beginnen Sie mit dem kürzesten erforderlichen Zeitraum. Beispielsweise einige Stunden oder höchstens ein Tag.
  • Erweitern Sie Ihre Kriterien nach und nach: Erhöhen Sie den Zeitraum nur, wenn Sie nicht finden, was Sie benötigen.
  • Seien Sie spezifisch: Berücksichtigen Sie bei Ihrer Abfrage in natürlicher Sprache nach Möglichkeit präzise Zeitbeschränkungen. Beispiel: „Die letzten 4 Stunden“. Andernfalls gelten die Standardwerte.
  • Achten Sie auf langsame Abfragen oder Zeitüberschreitungen: Abfragen, die sich über Tage oder Wochen erstrecken, können je nach Datenvolumen zu einer Zeitüberschreitung oder enormer Latenz führen.

Abfrage speichern

Sie können Ihre Abfrage speichern, damit Sie sie wiederverwenden können. Speichern Sie eine Abfrage anhand einer der folgenden Methoden:

  • Kopieren Sie die Abfrage in die Zwischenablage. Blenden Sie den Abschnitt Erzeugte Abfrage ein und klicken Sie auf das Symbol „Kopieren“ Symbol „Kopieren“. rechts auf der Seite.

  • Klicken Sie auf Abfrage Speichern. Dadurch wird die Abfrage in einer neuen Kategorie namens KI-Suche in Live Discover gespeichert, wo Sie sie später ausführen können. Siehe Live Discover.

  • Klicken Sie auf Exportieren. Dadurch wird die SQL-Syntax der Abfrage exportiert und die Abfrageergebnisse werden im CSV-Format angezeigt. Die CSV-Datei wird automatisch in Ihr Standard-Download-Verzeichnis heruntergeladen.

Ergebnisse der Abfrage

Die Abfrageergebnisse werden in der Tabelle unten auf der Seite angezeigt.

Ergebnisse der Abfrage.

Details anzeigen

Sie können weitere Details zu den Erkennungen oder Geräten erhalten, die in den Abfrageergebnissen angezeigt werden.

Um weitere Details zu einer Erkennung anzuzeigen, klicken Sie auf den Link in der Spalte Erkennungsregel. Hier werden die gleichen Details wie auf der Seite Erkennungen im Bedrohungsanalyse-Center angezeigt. Siehe Erkennungen.

Um weitere Details zu einem Gerät anzuzeigen, klicken Sie in der Spalte Hostname auf seinen Namen.