Sie können eine große Anzahl der Ereignisse, die mit den einzelnen Bedrohungserkennungen verknüpft sind, anzeigen und herunterladen. So können Sie in einer Vielzahl der in Ihrem Google Security Operations-Konto gespeicherten Daten nach Sicherheitsproblemen suchen.
Ereignisse anzeigen und herunterladen
So rufen Sie die mit einer Erkennung verknüpften Ereignisse auf und laden sie herunter:
Klicken Sie in der Navigationsleiste auf Detection > Rules & Detections (Erkennung > Regeln & Erkennungen).
Klicken Sie auf den Tab Regel-Dashboard.
Dashboard für Regeln
Klicken Sie auf eine Regel, um die Ansicht „Regelerkennungen“ zu öffnen.
Wählen Sie eine Erkennung aus der Liste „Erkennungen“ aus und maximieren Sie die Liste der Beispielereignisse, indem Sie auf den Pfeil neben der Liste klicken.
Für jede Ereignisvariable in einer Regel können bis zu 10 Beispielereignisse angezeigt werden.
Eine Regel mit zwei Ereignisvariablen ($e1, $e2) kann beispielsweise bis zu 20 Beispiele insgesamt enthalten. Alle Stichproben, die über dieses Limit hinausgehen, werden auf der Seite Erkennungen ausgeblendet. Sie sind jedoch enthalten, wenn Sie auf Alle herunterladen klicken, um UDM-Ereignisse (Unified Data Model) aufzurufen, die mit Ihrer Erkennung verknüpft sind.
Die Option Als CSV-Datei herunterladen wird angezeigt, wenn Ereignisbeispiele bei der Erkennung ausgelassen wurden. Es können maximal 100.000 Ereignisse heruntergeladen werden.
Die Ereignisstichproben werden in der Benutzeroberfläche nach Ereigniszeitstempel sortiert. Google garantiert keine Sortierung von Ereignisstichproben beim Lesen von Erkennungen aus Chronicle-APIs.
Optional: Klicken Sie auf
view_column Spalten, um der Liste der Beispielereignisse weitere Felder hinzuzufügen.
Diese Felder sind auch in der heruntergeladenen CSV-Datei enthalten.
Klicken Sie auf den Link Als CSV-Datei herunterladen. Die Ereignisbeispiele werden als CSV-Datei heruntergeladen, die Sie in den meisten Tabellenkalkulationsprogrammen öffnen können.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-02 (UTC)."],[[["\u003cp\u003eYou can download large numbers of events associated with threat detections in Google Security Operations to search for security issues.\u003c/p\u003e\n"],["\u003cp\u003eThe "Download as CSV" option is available for multi-event rules, but not for detections from Test Rules.\u003c/p\u003e\n"],["\u003cp\u003eUp to 10 event samples per event variable are displayed, and a maximum of 100,000 events can be downloaded in total.\u003c/p\u003e\n"],["\u003cp\u003eAdditional columns of information can be added to the sample event list and will be included in the downloaded CSV file.\u003c/p\u003e\n"],["\u003cp\u003eThe downloaded CSV file is dynamically generated with the most recent event samples, which might differ from the user interface display.\u003c/p\u003e\n"]]],[],null,["# Download events\n===============\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nYou can display and download large numbers of the events associated with each threat detection. This lets you search across a broad set of the data stored in your Google Security Operations account to hunt for security issues.\n\n### Display and download events\n\nComplete the following steps to display and download the events associated with a detection:\n\n1. In the navigation bar, click **Detection \\\u003e Rules \\& Detections**.\n\n2. Click the **Rules Dashboard** tab.\n\n\n **Rules Dashboard**\n3. Click a rule to open the Rule Detections view.\n\n | **Note:** The **Download as CSV** option is only available for multi-event rules. It is not supported for detections from Test Rules.\n4. Select a Detection from the Detections list and expand the sample events\n list by clicking the arrow next to the list.\n Each event variable in a rule can display up to 10 sample events.\n For example, a rule with two event variables (`$e1`, `$e2`) can show up to 20\n samples in total. Any samples beyond this limit are hidden on the\n **Detections** page., but they're included if you click **Download All** to view\n Unified Data Model (UDM) events associated with your detection.\n\nThe **Download as CSV** option appears if event samples were omitted from your\ndetection. A maximum of 100,000 events can be downloaded.\nThe event samples are sorted by event timestamp in the UI. Google does not\nguarantee any sorting of event samples when reading detections from\nChronicle APIs.\n\nOptional: Click view_column **Columns** to add more fields to the sample events list.\nThese fields are also included in the downloaded CSV.\n\n1. Click the **Download as CSV** link. The event samples are downloaded as a CSV file which you can then open in most spreadsheet applications.\n\n | **Note:** Your security data is continuously ingested into your Google SecOps account. When you click Download all, the CSV file is dynamically generated and includes the latest event samples. It might differ from the data displayed in the user interface.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
Dashboard für Regeln