ESET PROTECT – Inhaltsverzeichnis

Erweiterte Suche

Der Abschnitt Erweiterte Suche Erweiterte Suche ermöglicht erweiterte Untersuchungen von Open XDR Datenindikatoren und enthält Standardfunktionen wie Suchen, Abfragen und Auflisten.

Warnung:

In fehlerhaft konfigurierten Unternehmen sind die erweiterten Suchdaten für ESET PROTECT Benutzer mit benutzerdefinierten Berechtigungen unter Umständen nicht verfügbar. In korrekt konfigurierten Unternehmen finden Benutzer mit benutzerdefinierten Berechtigungen die entsprechenden Unternehmensdaten im Bereich „Erweiterte Suche“.

Hinweis

Open XDR Daten sind von Computern verfügbar, auf denen ESET Management Agent Version 13.0+ und ESET Inspect Connector Version 3.0+ ausgeführt wird.

Erfahren Sie mehr die Vereinheitlichung von ESET Inspect und ESET PROTECT (Open XDR).

Bereich „Erweiterte Suche“

Hauptbestandteile der Seite:

Abfragefilter

Geben Sie eine Lucene-Anfrage oder einen Volltext für die Suche ein.

Datumsfilter

Verwenden Sie den Datumsfilter, um die Ergebnisse für eine fokussierte Untersuchung auf ein bestimmtes Zeitfenster zu beschränken.

1.Klicken Sie auf das Kalendersymbol und wählen Sie Einmal oder Zeitspanne im Dropdown-Menü aus:

Einmal – Klicken Sie auf das Feld Datum auswählen, um einen vordefinierten relativen Bereich auszuwählen (Letzte 15 Minuten, Letzte 30 Minuten, Letzte Stunde, Letzte 24 Stunden, Letzte 7 Tage, Letzte 14 Tage, Letzter Monat), oder definieren Sie einen benutzerdefinierten relativen Bereich mit den Feldern Richtung auswählen, Menge eingeben und Einheit auswählen.

Zeitspanne – klicken Sie auf Start- und Enddatum, um sie als Relativ oder Absolut (genaue Daten/Uhrzeiten) anzugeben.

2.Klicken Sie auf Ausführen, um den Filter anzuwenden und die Ergebnisse zu aktualisieren.

Filterbereich

Sie können die Daten nach bestimmten Open XDR-Datenfeldern und -Werten filtern. Klicken Sie auf Filter hinzufügen oder klicken Sie in den Filterbereich, um ein Feld auszuwählen und den entsprechenden Wert festzulegen.

1.Wählen Sie ein Open XDR-Datenfeld aus der Liste aus. Geben Sie im Filterfeld einen Suchbegriff ein oder wählen Sie Elemente im Dropdown-Menü aus.

2.In einigen Filtern können Sie den Operator auswählen, indem Sie auf das Operatorsymbol neben dem Filternamen klicken (die verfügbaren Operatoren hängen vom Filtertyp ab):

ist gleich Gleich oder Enthält

ist nicht gleich Nicht gleich oder Enthält nicht

Größer oder gleich Größer oder gleich

Kleiner oder gleich Kleiner oder gleich

3.Drücken Sie die Eingabetaste. Aktive Filter werden in blau hervorgehoben.

Mit dem symbolbasierten eset.severity Filter können Sie die Einträge nach ihrem Schweregrad filtern. Sie können diese Symbole – Hoher Schweregrad Hoch, Mittlerer Schweregrad Mittel und Niedriger Schweregrad Niedrig – je nach Bedarf ein- und ausschalten und so kombinieren. Lassen Sie beispielsweise nur das Mittlerer Schweregrad gelbe Symbol aktiviert und deaktivieren Sie die restlichen Symbole, um nur Events mit mittlerem Schweregrad anzuzeigen. Um Events mit Mittlerer Schweregrad mittlerem und Hoher Schweregrad hohem Schweregrad anzuzeigen, sollten Sie nur diese beiden Symbole aktiviert lassen.

Sie können Filter in Ihrem Benutzerprofil speichern, um sie später wiederzuverwenden. Klicken Sie auf das Icon Voreinstellungen Voreinstellungen, um Filtersets zu verwalten:

Filtersets

Ihre gespeicherten Filter. Klicken Sie auf einen Filter, um ihn anzuwenden. Der angewendete Filter wird mit einem Häkchen Angewendet gekennzeichnet.

Speichern Sie den Filterset. Filtersets speichern

Erstellen Sie eine neue Voreinstellung auf Basis Ihrer aktuellen Filterkonfiguration. Nachdem Sie die Voreinstellung gespeichert haben, können Sie die Filterkonfiguration in der Voreinstellung nicht mehr bearbeiten. Wählen Sie Zeitintervall und Spalten in diese Vorlage einfügen aus, um das Zeitintervall und die Spaltensichtbarkeit in der Voreinstellung zu speichern.

Filtersets verwalten Filtersets verwalten

Hier können Sie vorhandene Voreinstellungen entfernen oder umbenennen. Klicken Sie auf Speichern, um Ihre Änderungen an den Voreinstellungen zu übernehmen.

Filterwerte löschen Filterwerte löschen

Anklicken, um nur die aktuellen Werte aus allen Filterfeldern im Filterbereich zu entfernen. Ihre gespeicherten Voreinstellungen bleiben erhalten.

Filter entfernenFilter entfernen

Anklicken, um alle Filterfelder aus dem Filterbereich zu entfernen. Ihre gespeicherten Voreinstellungen bleiben erhalten.

Nicht verwendete Filter entfernenNicht verwendete Filter entfernen

Mit dieser Option können Sie Filterfelder ohne Wert aus dem Filterbereich entfernen. Ihre gespeicherten Voreinstellungen bleiben erhalten.

Standardfilter zurücksetzen Standardfilter zurücksetzen

Setzen Sie den Filterbereich zurück und zeigen Sie die Standardfilter an. Ihre gespeicherten Voreinstellungen bleiben erhalten.

Ergebnisse

Die Ergebnisse werden im Histogramm visualisiert, das die Anzahl der Treffer in aggregierten Zeitintervallen für die aktuell gefilterten Ereignisse darstellt.

Klicken Sie auf einen Balken, um einen Drilldown in die Events des jeweiligen Intervalls durchzuführen. Der Datums- und Uhrzeitfilter wird auf die Start- und Endzeit des Balkens aktualisiert, und die Ergebnisse werden automatisch neu geladen.

Klicken und ziehen Sie über das Histogramm, um einen kontinuierlichen Intervallbereich auszuwählen. Der Zeit-/Datumsfilter wird auf diesen Bereich aktualisiert, und die Ergebnisse werden automatisch neu geladen.

Tabelle „Indikatoren“

Die Tabelle „Indikatoren“ enthält Indikatoren, die mit der Suchanfrage und den aktiven Filtern übereinstimmen. Klicken Sie auf das Ausrüstung Zahnradsymbol in einer Spaltenüberschrift, um auf Tabellenaktionen zuzugreifen:

Wählen Sie eine der Aktionen aus: Spalten bearbeiten – Werte in der Spalte sortieren. Mit dem Assistenten können Sie die angezeigten Spalten anpassen (Hinzufügenhinzufügen, Entfernenentfernen, Nach unten verschiebenNach oben verschiebenneu anordnen). Sie können die Spalten auch per Ziehen und Ablegen anpassen. Klicken Sie auf Zurücksetzen, um die Tabellenspalten auf ihren Standardzustand zurückzusetzen (standardmäßig verfügbare Spalten in Standardreihenfolge). Spalten automatisch anpassen – Spaltenbreiten automatisch an die Inhalte anpassen, Relative Zeit/Absolute Zeit anzeigen – Wählen Sie relative (z. B. vor 5 Minuten) oder absolute Zeitstempel aus.

Tabellensortierung Sortierung zurücksetzen – Alle angewendeten Sortiereinstellungen zurücksetzen.

Herunterladen als CSV (nur Tabellendaten) – Bis zu 500 Ergebnisse der Tabellendaten als CSV exportieren.

Seitenbereich „Indikator“

Klicken Sie auf eine beliebige Zeile, um eine detaillierte Ansicht des ausgewählten Indikators im Seitenbereich zu öffnen. Klicken Sie auf Details anzeigen, um einen neuen Fenster-Tab mit der Indikator-Detailübersicht zu öffnen (auch unter Incidents erreichbar).

Seitenbereich „Indikator“ in der erweiterten Suche

Übersicht – Die genauen Details hängen vom Indikatortyp ab. Die Farbe des Panels zeigt den Schweregrad an: Blau – niedriger Schweregrad, Gelb – mittlerer Schweregrad und Rot – hoher Schweregrad.

oGeben Sie Text in die Suchleiste ein, um Feldnamen und deren Werte zu filtern.

oKlicken Sie auf das Symbol mit den drei Punkten Mehr oder irgendwo in die Attributzeile, um ein bestimmtes Attribut einzubeziehen (Hereinfiltern) oder auszuschließen (Herausfiltern), oder wählen Sie Spalte hinzufügen aus, um ein ausgewähltes Feld als Tabellenspalte hinzuzufügen.

oEine ausführliche Erklärung finden Sie im Abschnitt Open XDR-Datenformat.

JSON – Eine strukturierte JSON-Ansicht des Indikators. Klicken Sie auf In Zwischenablage kopieren, um den JSON-Code zu kopieren.