UDM-Suche verwenden, um eine Entität zu untersuchen

Unterstützt in:

Während einer Untersuchung können Sie eine UDM Search-Abfrage schreiben, um Details zu einer oder mehreren Entitäten (z. B. einer IP-Adresse, einem Nutzer oder einem Asset) sowie zu den Ereignissen und Benachrichtigungen anzuzeigen, die den Suchanfragebegriffen entsprechen.

In Systemen, in denen die rollenbasierte Zugriffssteuerung für Daten verwendet wird, können Sie nur Daten sehen, die Ihren Bereichen entsprechen. Weitere Informationen finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf die Suche.

Wenn eine Suchanfrage eine Bedingung enthält, die eine bestimmte Entität identifiziert (z. B. principal.ip="10.0.31.20"), enthalten die Suchergebnisse neben UDM-Ereignissen, die der gesamten Suchanfrage entsprechen, auch Details zur Entität (sofern in Ihrem Unternehmen vorhanden).

Der Bereich mit den Suchergebnissen enthält die folgenden Tabs:

  • Übersicht: Details zu einem oder mehreren bestimmten Elementen.
  • Ereignisse: Suchergebnisse, die mit der gesamten Suchanfrage und dem Suchzeitraum übereinstimmen.
  • Benachrichtigungen: Benachrichtigungen, die durch Ereignisse generiert werden, die der gesamten Suchanfrage entsprechen.

UDM-Suchabfragebedingungen können sowohl UDM-Felder (principal.hostname="alice") als auch gruppierte Felder (hostname="alice") enthalten.

Die UDM Search-Abfrage kann mehrere Bedingungen enthalten, in denen jeweils eine andere Entitäts-ID angegeben wird. Beispielabfragen:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Die folgende Tabelle enthält Beispielabfragen für die UDM-Suche für ein oder mehrere Rechtssubjekte und die Art der angezeigten Informationen:

Informationstyp Beispiele für UDM-Suchanfragen
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domain
  • domain="example.com"
  • target.hostname="example.com"
Datei
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP-Adresse
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Nutzer
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Tab „Übersicht“

Auf dem Tab Übersicht werden Informationen zu Entitäten in einem der folgenden vordefinierten Informationstypen angezeigt. Die angezeigten Informationen variieren je nach Informationstyp.

Asset-Details

Wenn die UDM Search-Abfrage eine Bedingung enthält, die ein bestimmtes Asset zurückgibt, z. B. principal.hostname="laptop-will" oder principal.ip="10.0.0.76", wird auf dem Tab Übersicht die Asset-Ansicht mit Informationen in den folgenden Bereichen angezeigt:

  • Zusammenfassung der Suche: Hier werden die folgenden Informationen angezeigt:
    • Details zur Einheit, einschließlich der IP-Adresse und MAC-Adresse, die dem Asset während des Suchzeitraums zugeordnet waren. Die IP-Adresse und die MAC-Adresse können auch verwendet werden, um eine Entität zu identifizieren. Wenn Sie darauf klicken, werden im Entitätsbetrachter zusätzliche Informationen angezeigt. Außerdem wird angezeigt, wann das Asset zum ersten Mal in Ihrem Unternehmen und wann es zuletzt gesehen wurde. Sie können auf einen der beiden Zeitstempel (erster oder letzter) klicken, um eine neue Suche mit diesem Zeitpunkt auszuführen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, in denen die Entität im Suchzeitraum vorkam. Im Bereich wird auch eine Teilmenge von Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen zu sehen, die im selben Suchzeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche nach der ausgewählten Einheit zu starten.
    • Klicken Sie auf einen der Balken im Diagramm, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für die ausgewählte Einheit mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr ansehen, um die Ansicht Entitätsfelder zu öffnen und alle Entitätsfelder aufzurufen, die mit dem Asset verknüpft sind. Wenn Sie ein Attributfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Attributfeld, dann auf Aktionen ansehen und schließlich auf Attribut kopieren. Klicken Sie das Kästchen oben an, um alle Einheiten auszuwählen.
  • Relevante IOCs: Hier werden IOCs angezeigt, die mit dem Asset verknüpft sind. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den Namen des IOC klicken, wird rechts die Entitätsansicht geöffnet.
  • Zugehörige Entitäten: Hier werden andere Entitäten angezeigt, die mit diesem Asset verknüpft sind, z. B. Nutzer, die sich im Asset angemeldet haben. Im Bereich werden der Typ der Entität, der Zeitpunkt, zu dem sie zum ersten Mal in der Umgebung erkannt wurde, und der Zeitpunkt, zu dem sie zuletzt erkannt wurde, angezeigt. Außerdem werden alle Namespaces angezeigt, die mit einem Asset verknüpft sind. Klicken Sie auf eine Einheit, um den Bereich Einheitenkontext zu öffnen. Klicken Sie auf Gesamter Zeitraum, um die zugehörigen Einheiten für den gesamten verfügbaren Zeitraum anstelle des in der UDM-Suche angegebenen Bereichs anzuzeigen.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben. In diesem Bereich werden je nach Art der Entität, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben (z. B. Nutzer oder Domain), unterschiedliche Informationen angezeigt.
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Asset-Untersuchung auf. Weitere Informationen zum Untersuchen von Assets

Domaindetails

Wenn die UDM Search-Abfrage eine Bedingung enthält, die eine bestimmte Domain angibt, z. B. target.hostname="example.com", werden auf dem Tab Übersicht die Details zur Domain mit Informationen in den folgenden Bereichen angezeigt:

  • Zusammenfassung der Suche: Hier werden die folgenden Informationen angezeigt:
    • Details zur Domain, einschließlich der WHOIS-Informationen, die mit der registrierten Domain verknüpft sind, des ersten und des letzten (aktuellsten) Zeitpunkts, zu dem sie in Ihrem Unternehmen gesehen wurde. Klicken Sie auf VT Context, um Informationen zur Domain von VirusTotal aufzurufen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, in denen die Entität im Suchzeitraum vorkam. Im Bereich wird auch eine Teilmenge von Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen zu sehen, die im selben Suchzeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche nach der ausgewählten Einheit zu starten.
    • Klicken Sie auf einen der Balken im Diagramm, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für die ausgewählte Einheit mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr ansehen, um die Ansicht Entitätsfelder zu öffnen und alle Entitätsfelder aufzurufen, die mit der Domain verknüpft sind. Wenn Sie ein Attributfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Attributfeld, dann auf Aktionen ansehen und schließlich auf Attribut kopieren. Klicken Sie das Kästchen oben an, um alle Einheiten auszuwählen.
  • Aufgelöste IPs: Hier werden alle aufgelösten IP-Adressen angezeigt, die in Ihrem Unternehmen für den vollständig qualifizierten Domainnamen (Fully Qualified Domain Name, FQDN) gefunden wurden. Wenn Sie beispielsweise nach target.hostname="test.altostrat.com" suchen, werden in den Suchergebnissen möglicherweise zwei aufgelöste IP-Adressen (198.51.100.81 und 203.0.113.81) angezeigt.
  • Subdomains und Domains auf gleicher Ebene: Hier werden alle zugehörigen Subdomains angezeigt, die für einen bestimmten FQDN in Ihrem Unternehmen gefunden wurden. Viele Angreifer verwenden für ihre Angriffe dieselbe Domain und Subdomain. Wenn Sie beispielsweise nach target.hostname="sandbox.altostrat.com" suchen, werden in diesem Bereich zwei Subdomains angezeigt: test.sandbox.altostrat.com und staging.sandbox.altostrat.com.
  • Häufigkeit von Assets: Hier wird die Anzahl der Assets in Ihrem Unternehmen angezeigt, die für den gesamten Zeitraum der in Ihrem Google Security Operations-Konto gespeicherten Daten mit der Domain verbunden waren. Jeder Balken im Diagramm steht für die Anzahl der eindeutigen Assets in Ihrem Unternehmen, die an einem UTC-Tag eine Verbindung zur Domain hergestellt haben. Wenn Sie den Mauszeiger auf einen Balken bewegen, werden die zugehörigen Entitäten für den UTC-Tag angezeigt, der durch den Balken dargestellt wird. Klicken Sie auf den Namen der Einheit, um die Zusammenfassung und Übersicht der Einheit im Kontextbereich auf der rechten Seite aufzurufen. Klicken Sie auf Ereignisse ansehen, um die Ereignisse im Zusammenhang mit der ausgewählten Einheit auf dem Tab „Suchereignisse“ aufzurufen.
  • Zugehörige Entitäten: Hier werden andere Entitäten angezeigt, die mit dieser Domain in Verbindung stehen, z. B. Assets, die diese Domain kontaktiert haben. Die Liste enthält den Typ der Entität, wann sie zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann sie zuletzt erkannt wurde. Klicken Sie auf eine Einheit, um den Bereich Einheitenkontext zu öffnen.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben. In diesem Bereich werden je nach Art der Entität, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben (z. B. IP-Adresse oder Domain), unterschiedliche Informationen angezeigt.
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Domain-Analyse auf. Weitere Informationen finden Sie unter Domain untersuchen.

Dateidetails

Wenn die UDM Search-Abfrage eine Bedingung enthält, die eine einzelne Datei zurückgibt, z. B. principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", werden auf dem Tab Übersicht die Datei-Details mit Informationen in den folgenden Bereichen angezeigt:

  • Zusammenfassung der Suche: Hier werden die folgenden Informationen angezeigt:
    • Details zur Datei, einschließlich Hash-Werte, Dateigröße, Zeitpunkt des ersten Auftretens in Ihrem Unternehmen und Zeitpunkt des letzten (aktuellsten) Auftretens. Klicken Sie auf VT-Kontext, um Informationen zur Datei von VirusTotal aufzurufen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, in denen die Entität im Suchzeitraum vorkam. Im Bereich wird auch eine Teilmenge von Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen zu sehen, die im selben Suchzeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche nach der ausgewählten Einheit zu starten.
    • Klicken Sie auf einen der Balken im Diagramm, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für die ausgewählte Einheit mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr ansehen, um die Ansicht Entitätsfelder zu öffnen und alle Entitätsfelder anzuzeigen, die der Datei zugeordnet sind. Wenn Sie ein Attributfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Attributfeld, dann auf Aktionen ansehen und schließlich auf Attribut kopieren. Klicken Sie das Kästchen oben an, um alle Einheiten auszuwählen.
  • Relevante IOCs: Hier werden IOCs angezeigt, die mit der Datei verknüpft sind. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den Namen des IOC klicken, wird rechts die Entitätsansicht geöffnet.
  • Häufigkeit von Assets: Hier sehen Sie die Anzahl der Assets in Ihrem Unternehmen, die dem Dateinamen für den gesamten Zeitraum der in Ihrem Google SecOps-Konto gespeicherten Daten zugeordnet sind.
  • Zugehörige Entitäten: Hier werden andere Entitäten angezeigt, auf die sich diese Datei bezieht, z. B. ein Asset, in dem diese Datei ausgeführt wurde, oder Nutzer, die auf die Datei zugegriffen haben. Die Liste enthält den Typ der Entität, wann sie zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann sie zuletzt erkannt wurde. Klicken Sie auf eine Einheit, um den Bereich Einheitenkontext zu öffnen.
  • VirusTotal-Eigenschaften und ‑Metadaten: Hier werden Informationen zur Datei aus der VirusTotal-Datenbank angezeigt. Klicken Sie auf Mehr ansehen, um ein VirusTotal-Dialogfeld zu öffnen und zusätzliche Informationen zur Datei aufzurufen.
  • Zugeordnete Entitäten: Hier werden je nach Art der Entität, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben (z. B. Nutzer oder Asset), unterschiedliche Informationen angezeigt.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben. In diesem Bereich werden je nach Art der Entität, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben (z. B. Nutzer oder Asset), unterschiedliche Informationen angezeigt.
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Datei-Untersuchung auf. Weitere Informationen finden Sie unter Datei untersuchen.

IP-Details

Wenn die UDM Search-Abfrage eine Bedingung enthält, die eine bestimmte externe IP-Adresse zurückgibt, z. B. target.ip="203.0.113.254", werden auf dem Tab Übersicht die IP-Details mit Informationen in den folgenden Bereichen angezeigt:

  • Zusammenfassung der Suche: Hier werden die folgenden Informationen angezeigt:
    • Details zur IP-Adresse, einschließlich des ersten und letzten (aktuellsten) Zeitpunkts, zu dem sie in Ihrem Unternehmen gesehen wurde. Klicken Sie auf VT-Kontext, um Informationen zu dieser IP-Adresse von VirusTotal aufzurufen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, in denen die Entität im Suchzeitraum vorkam. Im Bereich wird auch eine Teilmenge von Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen zu sehen, die im selben Suchzeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche nach der ausgewählten Einheit zu starten.
    • Klicken Sie auf einen der Balken im Diagramm, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für die ausgewählte Einheit mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen und alle mit der IP-Adresse verknüpften Entitätsfelder aufzurufen. Wenn Sie ein Entitätsfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Entitätsfeld, dann auf Aktionen ansehen und schließlich auf Entität kopieren. Klicken Sie das Kästchen oben an, um alle Einheiten auszuwählen.
  • Relevante IOCs: Hier werden IOCs angezeigt, die mit der IP-Adresse verknüpft sind. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den Namen des IOC klicken, wird rechts die Entitätsansicht geöffnet.
  • Häufigkeit von Assets: Gibt die Anzahl der Assets in Ihrem Unternehmen an, die im angegebenen Zeitraum mit der IP-Adresse verbunden waren.
  • Zugehörige Entitäten: Hier werden andere Entitäten angezeigt, die mit dieser IP-Adresse in Verbindung stehen, z. B. Domains, für die die IP-Adresse registriert ist. Die Liste enthält den Typ der Entität, wann sie zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann sie zuletzt erkannt wurde. Klicken Sie auf eine Einheit, um den Bereich Einheitenkontext zu öffnen.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben. In diesem Bereich werden je nach Art der Entität, die Sie im Bereich Zugeordnete Entitäten ausgewählt haben (z. B. Domain oder Asset), unterschiedliche Informationen angezeigt. Wenn der Link angezeigt wird, klicken Sie auf VT-Kontext, um Informationen zur Einheit von VirusTotal aufzurufen.
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Untersuchung von IP-Adressen auf. Weitere Informationen finden Sie unter IP-Adresse untersuchen.

Nutzerdetails

Wenn die UDM Search-Abfrage eine Bedingung enthält, die einen bestimmten Nutzer zurückgibt, z. B. principal.user.userid="alice", werden auf dem Tab Übersicht die Nutzer-Details mit Informationen in den folgenden Bereichen angezeigt:

  • Zusammenfassung der Suche: Hier werden die folgenden Informationen angezeigt:
    • Details zur Identität, einschließlich des vollständigen Namens, des ersten und letzten (aktuellsten) Zeitpunkts, an dem sie in Ihrem Unternehmen gesehen wurde, der Berufsbezeichnung und der E-Mail-Adresse.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, in denen die Entität im Suchzeitraum vorkam. Im Bereich wird auch eine Teilmenge von Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen zu sehen, die im selben Suchzeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche nach der ausgewählten Einheit zu starten.
    • Klicken Sie auf einen der Balken im Diagramm, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für die ausgewählte Einheit mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr ansehen, um die Ansicht Entitätsfelder zu öffnen und alle Entitätsfelder aufzurufen, die mit dem Nutzer verknüpft sind. Wenn Sie ein Attributfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Attributfeld, dann auf Aktionen ansehen und schließlich auf Attribut kopieren. Klicken Sie das Kästchen oben an, um alle Einheiten auszuwählen.
  • Zugehörige Entitäten: Hier werden Entitäten angezeigt, die mit diesem Nutzer in Verbindung stehen, z. B. Domains, mit denen der Nutzer Kontakt aufgenommen hat, oder Assets, auf die der Nutzer zugegriffen hat. Die Liste enthält den Typ der Entität, wann sie zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann sie zuletzt erkannt wurde. Klicken Sie auf eine Einheit, um den Bereich Einheitenkontext zu öffnen.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Zugeordnete Entitäten auswählen. Die Informationen in diesem Bereich variieren je nach Art des Rechtssubjekts (z. B. Asset oder Domain).
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht Nutzer auf. Weitere Informationen finden Sie unter Nutzer untersuchen.

Tab „Ereignisse“

Auf dem Tab Ereignisse werden die Ereignisse angezeigt, die mit Ihrer UDM-Suche im angegebenen Zeitraum verknüpft sind. Diese Ereignisse sind in der Tabelle Ereignisse aufgeführt. Wenn Sie auf den Zeitstempel eines Ereignisses klicken, wird ein Dialogfeld mit den Assets und Dateien geöffnet, die dem Ereignis zugeordnet sind. Wenn Sie auf eines dieser Elemente klicken, wird der Bereich Entitätskontext geöffnet. Dort finden Sie zusätzliche Informationen zur Entität, einschließlich einer Liste aller zugehörigen Benachrichtigungen und eines Benachrichtigungsdiagramms, in dem die Häufigkeit dieser Benachrichtigungen im Zeitverlauf dargestellt wird.

Informationen zu UDM-Ereignissen finden Sie unter Struktur eines UDM-Ereignisses.

Mit der Option Pivot können Sie die Pivot-Einstellungen öffnen. Mit diesen Einstellungen können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Ergebnisse der UDM-Suche analysieren. Weitere Informationen finden Sie unter Pivot-Tabelle zum Analysieren von Ereignissen verwenden.

Diagramm zum Trend im Zeitverlauf

Im Diagramm Trend im Zeitverlauf werden die Ereignisse für den in der UDM-Suche angegebenen Zeitraum dargestellt. Warnungen werden rot unter dem Diagramm angezeigt. Wenn Sie auf einen der Balken klicken, wird der Fokus des Tabs Events auf diesen Zeitraum eingegrenzt. Die mit diesem Zeitfenster verknüpften Ereignisse werden in der Tabelle Ereignisse angezeigt.

Diagramm zur Domainverbreitung

Im Diagramm Domain prevalence (Domainhäufigkeit) wird die Häufigkeit der Domains angezeigt, die mit Ihrer Suche in Ihrem Unternehmen verknüpft sind. Wenn Sie den Mauszeiger auf einen der Kreise im Diagramm bewegen, wird die entsprechende Domain angezeigt. Sie können Ihre Suche dann auf Ereignisse beschränken, die mit dieser Domain verknüpft sind. Das Diagramm wird nur angezeigt, wenn Ihre UDM-Suche eine Domain enthält.

Tab "Alerts" ("Warnungen")

Auf dem Tab Benachrichtigungen können Sie detaillierte Informationen zu den Benachrichtigungen aufrufen, die mit Ihrer UDM-Suche verknüpft sind.

  • Diagramm: Hier wird die Anzahl der Benachrichtigungen pro Zeitraum für den in der UDM-Suche angegebenen Zeitraum angezeigt. Der Zeitraum variiert je nach Länge der Suche. Mit dem Kästchen Gefilterte Benachrichtigungen können Sie die Benachrichtigungen, die von den Filtern verarbeitet werden, ein- oder ausblenden. Über das Kästchen Abfragebenachrichtigungen können Sie alle von der UDM-Suche verarbeiteten Benachrichtigungen ein- oder ausblenden.
  • Filter: Hier können Sie Benachrichtigungen anhand der aufgeführten Optionen filtern. Klicken Sie beispielsweise auf Schweregrad, dann auf die Menüoption für Mittel und wählen Sie Nur anzeigen aus. Das Diagramm und die Tabelle werden neu geladen und zeigen nur die Benachrichtigungen mit mittlerem Schweregrad an.
  • Tabelle Benachrichtigungen: Hier werden die Benachrichtigungen angezeigt, die mit der UDM-Suche verknüpft sind. Wenn Sie auf eine Benachrichtigung klicken, wird die Benachrichtigungsanzeige mit zusätzlichen Informationen geöffnet. Wenn Sie auf Details ansehen klicken, wird die Ansicht Benachrichtigungen und IOCs geöffnet (siehe Benachrichtigungen und IOCs aufrufen). Wenn Sie im Diagramm auf einen bestimmten Filterbalken klicken, werden nur die Benachrichtigungen angezeigt, die diesem Balken zugeordnet sind. Wenn Sie Filter hinzufügen, wird die Tabelle ebenfalls neu geladen und es werden nur die Benachrichtigungen angezeigt, die mit Ihren Auswahlkriterien übereinstimmen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten