Daten in der Regelerkennungsansicht filtern

In der Ansicht „Regelerkennungen“ sehen Sie die Metadaten, die an die Regel angehängt sind, sowie eine Grafik mit der Anzahl der Erkennungen, die von der Regel in den letzten Tagen gefunden wurden.

Führen Sie die folgenden Schritte aus, um in Chronicle auf die Ansicht „Regelerkennung“ zuzugreifen:

  1. Wählen Sie in der Navigationsleiste unter „Erkennungen“ die Option Regeln und Erkennungen aus, um das Dashboard „Regeln“ aufzurufen.

    Regel-Dashboard Regel-Dashboard

  2. Klicken Sie auf einen Regelnamen. Die Ansicht „Regelerkennungen“ wird angezeigt.

    Ansicht „Regelerkennungen“ Ansicht „Regelerkennungen“

  3. Klicken Sie im linken Navigationsbereich in der Spalte „Erkennungen“ auf den Rechtspfeil.

    Details zu unbearbeiteten Protokollereignissen Pop-up-Fenster mit Rohdaten zu Logdetails

  4. Klicken Sie rechts oben in der Chronicle-Benutzeroberfläche auf das Symbol Filtersymbol. Das Menü Prozedurale Filterung wird geöffnet, wie in der folgenden Abbildung dargestellt.

    Menü „Prozedurales Filtern“ Menü zur prozeduralen Filterung

    Die folgenden Optionen für die prozedurale Filterung werden in der Ansicht „Regelerkennung“ angezeigt. Diese Liste enthält nicht alle Filteroptionen:

    • METADATA.EVENT_TYPE
    • METADATA.PRODUCT_NAME
    • NETWORK.APPLICATION_PROTOCOL
    • NETWORK.DNS.QUESTIONS.CLASS
    • NETWORK.DNS.ANSWERS.DATA
    • NETWORK.DNS.ANSWERS.NAME
    • NETWORK.DNS.ANSWERS.TTL
    • NETWORK.DNS.ANSWERS.TYPE
    • NETWORK.DNS.QUESTIONS.CLASS
    • NETWORK.DNS.QUESTIONS.NAME
    • NETWORK.DNS.QUESTIONS.TYPE