Zum Inhalt

Suche

Mit der XDR-Suche können Sie bestimmte Daten im Sophos Data Lake finden.

Sie können nach Indikatoren für eine Bedrohung (Indicators of Compromise, IOCs) oder nach anderen Daten wie IP-Adressen oder Benutzernamen suchen.

Suche erstellen und ausführen

Sie können Suchen auf zwei unterschiedliche Arten erstellen:

  • Erstellen Sie eine einfache Suche mit unserem Such-Assistenten. Diese Option ist voreingestellt.
  • Erstellen Sie eine erweiterte Suche mit der Abfragesprache Lucene oder per Freitexteingabe.

Wählen Sie unten die entsprechende Registerkarte aus, um Anweisungen zu erhalten.

Grundlegende Suchvorgänge sind einfach zu erstellen.

Sie erstellen eine grundlegende Suche mit unserem interaktiven Such-Assistenten.

  1. Gehen Sie zu Bedrohungsanalyse-Center > Suche.

    Suchseite.

  2. Wählen Sie den Zeitraum der Erkennungen aus, die Sie einbeziehen möchten.

    Suchzeitraum.

  3. Wählen Sie die Daten aus, die Sie suchen möchten. Derzeit können Sie nur nach Endpoint-Daten suchen.

    Daten suchen.

  4. Klicken Sie in der Suchleiste auf das Symbol „Hinzufügen“, um häufig verwendete Suchfelder anzuzeigen.

    Symbol „Hinzufügen“.

  5. Klicken Sie im Dialogfenster „Häufig verwendet“ auf ein Feld.

    Häufig verwendete Felder.

  6. Verwenden Sie im Such-Assistenten das Dropdown-Menü, um einen Operator wie IS oder INCLUDES hinzuzufügen, und geben Sie einen Wert ein.

    Beispiel: Device IP IS 148.139.13.160

    Such-Assistent.

  7. Klicken Sie optional auf Zeile, um einen Operator (AND, OR oder NOT) auszuwählen und ein weiteres Feld hinzuzufügen. Klicken Sie dann auf Hinzufügen.

    Beispiel: hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP

  8. Wählen Sie optional die Datenfelder aus, die in den Ergebnissen angezeigt werden sollen. Klicken Sie auf Spalten und wählen Sie die gewünschten Felder aus.

    Suchspalten-Auswahl.

  9. Klicken Sie auf Suchen. Die Ergebnisse werden im unteren Bereich angezeigt.

    Suchergebnisse.

  10. Klicken Sie auf den Pfeil daneben, um die vollständigen Details einer Erkennung anzuzeigen.

Derzeit können Sie Ihre Suchvorgänge nicht speichern oder Aktionen für die Erkennungen in den Ergebnissen ausführen.

Sie können eine erweiterte Suche erstellen, indem Sie die Abfragesprache Lucene verwenden oder Ihren eigenen Text eingeben.

So erstellen Sie eine erweiterte Suche:

  1. Klicken Sie auf Zu erweiterter Abfrage wechseln.

    Zu erweiterter Abfrage wechseln.

  2. Geben Sie in der Suchleiste Datenfelder sowie Parameter oder Freitext ein, wie in den folgenden Abschnitten beschrieben.

  3. Klicken Sie auf Suchen. Die Ergebnisse werden im unteren Bereich angezeigt.

Datenfelder und Parameter verwenden

Geben Sie das Datenfeld gefolgt von einem Doppelpunkt und dann den Suchparameter ein. Alle Informationen zu den Datenfeldern, die Sie verwenden können, finden Sie unter Datenfelder für die Suche.

Sie können Suchen mit mehreren Datenfeldern erstellen. Hier einige Beispiele:

process_name:lsass AND username:admin OR username:system

sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"

Hilfe finden Sie im Lucene-Tutorial.

Freitexteingabe verwenden

Geben Sie eine Textfolge ein, um nach Erkennungen zu suchen, die den eingegebenen Text enthalten. Verwenden Sie bei Zeichenfolgen wie MAC-Adressen oder IP-Adressen, die Sonderzeichen enthalten, Anführungszeichen in Freitextsuchen.

Hier einige Beispiele:

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

Ergebnisliste konfigurieren

Sie können entweder die Standardspalten in den Ergebnissen akzeptieren oder sie ändern und neu anordnen.

Standardspalten

Standardmäßig werden die folgenden Spalten in den Ergebnissen angezeigt.

Spalte Details
Uhrzeit -
kategorie Beispiel: „Netzwerk“
activity_type Beispiel: „offene Sockets“
Hostname -
Benutzername Wird nicht angezeigt, wenn kein Benutzer angemeldet ist, zum Beispiel auf einem Server
device_IP -

Spalten hinzufügen oder entfernen

Sie können die in den Ergebnissen angezeigten Datenspalten ändern und neu anordnen. Um die angezeigten Spalten zu ändern, klicken Sie auf Spalten und wählen Sie die gewünschten Spalten aus.

Spalten auswählen.

Spalten neu ordnen

So ändern Sie die Reihenfolge der Spalten in der Ergebnistabelle:

  1. Klicken Sie auf eine Spaltenüberschrift und ziehen Sie sie an die gewünschte Stelle.

    Spalte verschieben.

  2. Wenn Sie Pfeile über und unter der Tabellenüberschrift sehen, können Sie die Spaltenüberschrift dort ablegen.

    Spalte einfügen.