Pivot-Abfragen
Mit Pivot-Abfragen können Sie schnell neue Abfragen basierend auf Live-Discover-Ergebnissen ausführen.
Mit einer Pivot-Abfrage können Sie einen wesentlichen Bestandteil Ihrer Daten aus Ihren Abfrageergebnissen auswählen und diesen als Grundlage für eine neue Abfrage verwenden.
Verfügbare Pivot-Abfragen finden Sie, indem Sie in der Tabelle der Abfrageergebnisse nach dem Auslassungssymbol neben Zellen suchen.
Beispiel:
-
Sie führen eine Abfrage aus, um Sophos-PID und Reputation aller laufenden Prozesse zu ermitteln.
Die Sophos-PID ist eine eindeutige Prozess-ID.
In den Ergebnissen sehen Sie einen verdächtigen Prozess.
-
Um zu sehen, wo dieser Prozess noch läuft, suchen Sie nach identifizierenden Daten, auf denen eine neue Abfrage basieren kann.
- In der Spalte SHA-256 sehen Sie drei Punkte . Klicken Sie darauf.
-
Im Pivot-Menü werden die verfügbaren Pivot-Abfragen aufgelistet. Klicken Sie auf Prozessaktivität für eine SHA-256 (Data Lake).
Sie können von einer Data-Lake-Abfrage zu einer Endpoint-Abfrage und zurück wechseln.
Es wird eine neue Abfrage erstellt, die alle laufenden Prozesse zeigt, die diese SHA-256 gemeinsam nutzen.