Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=global-search

Suche

Sie müssen dem EAP beitreten, um diese Funktion verwenden zu können.

Spezifische Endpoint-Daten finden Sie im Sophos Data Lake.

Sie können nach Indikatoren für eine Bedrohung (Indicators of Compromise, IOCs) oder nach anderen Daten wie IP-Adressen oder Benutzernamen suchen.

Sie erstellen Ihre Suche mit der Abfragensprache Lucene. Hilfe finden Sie im Lucene-Tutorial.

Die Suchseite

Gehen Sie zu Bedrohungsanalyse-Center > Suche.

Im rechten Fensterbereich können Sie Ihre Suche erstellen und ausführen und eine Liste der entsprechenden Ergebnisse anzeigen.

Unter Schema im linken Fensterbereich werden Datentypen angezeigt, die Sie für Ihre Suche verwenden können. Außerdem können Sie die entsprechenden Spalten in den Ergebnissen hinzufügen, entfernen oder neu anordnen.

Suchseite im Bedrohungsanalyse-Center

Suche erstellen und ausführen

Um eine Suche zu erstellen und auszuführen, gehen Sie wie folgt vor:

  1. Gehen Sie zu Bedrohungsanalyse-Center > Suche.
  2. Wählen Sie den Zeitraum der Erkennungen aus, die Sie einbeziehen möchten.

  3. Geben Sie Ihre Suchanfrage in die Suchleiste ein, in der Sie „@ tippen zum Auto-Vervollständigen“ sehen.

    1. Geben Sie @ ein und beginnen Sie mit der Eingabe des Namens des Datenfelds, das Sie in die Suche einbeziehen möchten. Sie werden aufgefordert, eine Liste mit übereinstimmenden Feldern anzuzeigen.

    2. Geben Sie ein Datenfeld gefolgt von einem Doppelpunkt und dann den Suchparameter ein. Sie können mehrere Datenfelder einbeziehen. Hier einige Beispiele:

      hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP

      command_line:mimikatz

    Alternativ können Sie auch eine freie Texteingabe verwenden, um Ihre eigenen Suchzeichenfolgen einzugeben. Für weitere Informationen siehe So erstellen Sie Suchen.

    Die Suchleiste

  4. Wählen Sie optional im linken Fensterbereich die Datenfelder aus, die in den Ergebnissen angezeigt werden sollen. Klicken Sie auf Namen in den verfügbaren Spalten, um sie den sichtbaren Spalten hinzuzufügen, die in den Ergebnissen angezeigt werden.

    Weitere Details finden Sie in Spalten hinzufügen, entfernen oder neu anordnen.

    Liste der Datenfelder

  5. Klicken Sie auf Suchen. Die Ergebnisse werden im unteren Bereich angezeigt.

    Suchergebnisse

  6. Klicken Sie auf den Pfeil daneben, um die vollständigen Details einer Erkennung anzuzeigen. Derzeit werden Details in einer JSON-Tabelle angezeigt.

    Erkennungs-Details

Derzeit können Sie Ihre Suchanfragen nicht speichern.

Sie können keine Maßnahmen zu den Erkennungen in den Ergebnissen ergreifen. In späteren Versionen können Sie Erkennungen auswählen und zu den Analysen im Bedrohungsanalyse-Center hinzufügen.

So erstellen Sie Suchen

Erstellen Sie mithilfe unserer Datenfelder eine Suche oder geben Sie Ihren eigenen Text ein.

Datenfelder und Parameter

Geben Sie das Datenfeld (eines der im linken Fensterbereich angezeigten Felder) gefolgt von einem Doppelpunkt und dem Suchparameter ein.

Sie können Suchen mit mehreren Datenfeldern erstellen. Hier einige Beispiele:

process_name:lsass AND username:admin OR username:system

event_id:4100 OR event_id:4013 OR event_id:4104 NOT username:"help desk"

sha1:0a43ff3773e7fcbb9a98029957c41bc3af56ae94 AND dest_ip:"1.2.3.4"

hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP

command_line:mimikatz

run_as_username:system OR run_as_username:admin

Freitexteingabe

Geben Sie eine Textfolge ein, um nach Erkennungen zu suchen, die den eingegebenen Text enthalten. Verwenden Sie bei Zeichenfolgen wie MAC-Adressen oder IP-Adressen, die Sonderzeichen enthalten, Anführungszeichen in Freitextsuchen.

Hier einige Beispiele:

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

Ergebnisse filtern

Um nur die Ergebnisse anzuzeigen, die Sie am meisten interessieren, gehen Sie wie folgt vor:

  1. Klicken Sie auf Filter hinzufügen .

    Filteroption hinzufügen

  2. Geben Sie unter Schnellfilter einen Ausdruck ein, der die Ergebnisse filtert.

    Dialogfeld für Schnellfilter

Ändern Sie die Spalten in den Ergebnissen

Sie können entweder die Standardspalten in den Ergebnissen akzeptieren oder sie ändern und neu anordnen.

Standardspalten

Standardmäßig werden die folgenden Spalten in den Ergebnissen angezeigt.

Spalte Details
Uhrzeit -
kategorie Beispiel: „Netzwerk“
activity_type Beispiel: „offene Sockets“
Hostname -
Benutzername Wird nicht angezeigt, wenn kein Benutzer angemeldet ist, zum Beispiel auf einem Server
device_IP -
device_mac Die MAC-Adresse
device_type Beispiel: Client oder Server
device_make Beispiel: Windows oder macOS

Spalten hinzufügen, entfernen oder neu anordnen

Sie können die in den Ergebnissen angezeigten Datenspalten ändern und neu anordnen.

Selektor für Spalten

Im linken Fensterbereich werden unter Sichtbare Spalten die Spalten aufgeführt, die aktuell in den Ergebnissen angezeigt werden. Verfügbare Spalten zeigt die zusätzlichen Spalten an, die Sie auswählen können.

Um eine Spalte zu entfernen, klicken Sie auf das Minuszeichen neben ihrem Namen in Sichtbare Spalten.

Um eine Spalte hinzuzufügen, klicken Sie in Verfügbare Spalten auf ihren Namen. Die Spalte wird der Liste Sichtbare Spalten hinzugefügt und als letzte Spalte in der Ergebnistabelle angezeigt.

Um nach den Spalten zu suchen, die Sie hinzufügen möchten, geben Sie den Namen in die Suchfelder ein.

Um die Reihenfolge der Spalten in der Ergebnistabelle zu ändern, ziehen Sie die Namen in der Liste Sichtbare Spalten in die gewünschte Reihenfolge.