UDM-Suche verwenden, um eine Entität zu untersuchen

Unterstützt in:

Während einer Untersuchung können Sie eine UDM-Suchanfrage erstellen, um neben den Ereignissen und Benachrichtigungen, die mit den Suchbegriffen übereinstimmen, auch Details zu einer oder mehreren Entitäten (z. B. einer IP-Adresse, einem Nutzer oder einem Asset) anzuzeigen.

In Systemen, in denen die RBAC für Daten verwendet wird, sehen Sie nur Daten, die Ihren Bereichen entsprechen. Weitere Informationen finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Daten in der Google Suche.

Wenn eine Suchanfrage eine Bedingung enthält, mit der eine bestimmte Entität identifiziert wird (z. B. principal.ip="10.0.31.20"), enthalten die Suchergebnisse neben UDM-Ereignissen, die mit der gesamten Suchanfrage übereinstimmen, auch Details zur Entität (sofern in Ihrem Unternehmen vorhanden).

Der Bereich „Suchergebnisse“ enthält die folgenden Tabs:

  • Übersicht: Details zu einer oder mehreren bestimmten Entitäten.
  • Ereignisse: Suchergebnisse, die mit der gesamten Suchanfrage und dem gesamten Suchzeitraum übereinstimmen.
  • Benachrichtigungen: Benachrichtigungen, die durch Ereignisse generiert werden, die mit der gesamten Suchanfrage übereinstimmen.

Suchbedingungen für UDM-Suchanfragen können sowohl UDM-Felder (principal.hostname="alice") als auch gruppierte Felder (hostname="alice") enthalten.

Die UDM-Suchanfrage kann mehrere Bedingungen enthalten, für die jeweils eine andere Entitäts-ID angegeben wird. Beispiele für Abfragen:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Die folgende Tabelle enthält Beispielabfragen für die UDM-Suche für eine oder mehrere Entitäten und die Art der angezeigten Informationen:

Informationstyp Beispiele für UDM-Suchanfragen
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domain
  • domain="example.com"
  • target.hostname="example.com"
Datei
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP-Adresse
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Nutzer
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Tab "Übersicht"

Auf dem Tab Übersicht werden Entitätsinformationen in einem der folgenden vordefinierten Informationstypen angezeigt. Die angezeigten Informationen variieren je nach Informationstyp.

Asset-Details

Wenn die UDM-Suchanfrage eine Bedingung enthält, die ein bestimmtes Asset zurückgibt, z. B. principal.hostname="laptop-will" oder principal.ip="10.0.0.76", wird auf dem Tab Übersicht die Asset-Ansicht mit Informationen in den folgenden Bereichen angezeigt:

  • Suchergebnisse – Zusammenfassung: Hier werden die folgenden Informationen angezeigt:
    • Details zur Entität, einschließlich der IP-Adresse und MAC-Adresse, die im angegebenen Zeitraum mit dem Asset verknüpft waren. Die IP-Adresse und die MAC-Adresse können auch zur Identifizierung einer Entität verwendet werden. Wenn Sie darauf klicken, werden in der Entitätsansicht zusätzliche Informationen angezeigt. Außerdem wird angezeigt, wann das Asset zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann es zuletzt erkannt wurde. Sie können auf einen Zeitstempel (erster oder letzter) klicken, um eine neue Suche mit diesem Zeitstempel auszuführen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, die sich auf die Entität im angegebenen Zeitraum beziehen. Außerdem wird eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen aufzurufen, die im selben Zeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element zu starten.
    • Klicken Sie auf eine der Balken im Diagramm, um auf der Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen und alle Entitätsfelder aufzurufen, die mit dem Asset verknüpft sind. Wenn Sie ein Entitätsfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Entitätsfeld, dann auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie oben auf das Kästchen, um alle Entitäten auszuwählen.
  • Relevante IOCs: Hier werden IOCs angezeigt, die mit dem Asset verknüpft sind. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den Namen des IOC klicken, wird rechts die Entitätsansicht geöffnet.
  • Verknüpfte Entitäten: Hier werden andere Entitäten angezeigt, die mit diesem Asset in Beziehung stehen, z. B. Nutzer, die sich beim Asset angemeldet haben. Im Steuerfeld werden der Entitätstyp, das erste und das letzte Auftreten in der Umgebung angezeigt. Außerdem werden alle Namespaces angezeigt, die mit einem Asset verknüpft sind. Klicken Sie auf eine Entität, um den Bereich Entitätskontext zu öffnen. Klicken Sie auf Gesamtzeit anzeigen, um die zugehörigen Entitäten für den gesamten verfügbaren Zeitraum anstelle des in der UDM-Suche angegebenen Zeitraums anzuzeigen.
  • Entitätskontext: Hier finden Sie Details zur Entität, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben. In diesem Bereich werden je nach Art der Entität, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben (z. B. Nutzer oder Domain), unterschiedliche Informationen angezeigt.
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Asset-Prüfung auf. Weitere Informationen finden Sie unter Assets prüfen.

Domaindetails

Wenn die UDM-Suchanfrage eine Bedingung enthält, die eine bestimmte Domain angibt, z. B. target.hostname="example.com", werden auf dem Tab Übersicht die Details zur Domain mit Informationen in den folgenden Bereichen angezeigt:

  • Suchergebnisse – Zusammenfassung: Hier werden die folgenden Informationen angezeigt:
    • Details zur Domain, einschließlich der WHOIS-Informationen, die mit der registrierten Domain verknüpft sind, das erste Mal, dass sie in Ihrem Unternehmen gesehen wurde, und das letzte Mal, dass sie gesehen wurde. Klicken Sie auf VT-Kontext, um Informationen zur Domain von VirusTotal aufzurufen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, die sich auf die Entität im angegebenen Zeitraum beziehen. Außerdem wird eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen aufzurufen, die im selben Zeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element zu starten.
    • Klicken Sie auf eine der Balken im Diagramm, um auf der Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen und alle Entitätsfelder aufzurufen, die mit der Domain verknüpft sind. Wenn Sie ein Entitätsfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Entitätsfeld, dann auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie oben auf das Kästchen, um alle Entitäten auszuwählen.
  • Aufgelöste IP-Adressen: Hier werden alle aufgelösten IP-Adressen angezeigt, die in Ihrem Unternehmen für den vollständig qualifizierten Domainnamen (FQDN) verwendet wurden. Wenn Sie beispielsweise nach target.hostname="test.altostrat.com" suchen, werden in den Suchergebnissen möglicherweise zwei aufgelöste IP-Adressen (198.51.100.81 und 203.0.113.81) angezeigt.
  • Subdomains und Domains auf gleicher Ebene: Hier werden alle zugehörigen Subdomains angezeigt, die in Ihrem Unternehmen für einen bestimmten FQDN erkannt wurden. Viele Angreifer verwenden für ihre Angriffe dieselbe Domain und dieselbe Subdomain. Wenn Sie beispielsweise nach target.hostname="sandbox.altostrat.com" suchen, werden in diesem Bereich zwei Subdomains angezeigt: test.sandbox.altostrat.com und staging.sandbox.altostrat.com.
  • Prävalenz von Assets: Die Anzahl der Assets in Ihrem Unternehmen, die sich im gesamten Zeitraum der in Ihrem Google Security Operations-Konto gespeicherten Daten mit der Domain verbunden haben. Jeder Balken im Diagramm entspricht der Anzahl der einzelnen Assets in Ihrem Unternehmen, die an einem bestimmten UTC-Tag eine Verbindung zur Domain hergestellt haben. Wenn Sie den Mauszeiger auf einen Balken bewegen, werden die zugehörigen Entitäten für den UTC-Tag angezeigt, der durch den Balken dargestellt wird. Klicken Sie auf den Namen der Entität, um die Zusammenfassung und Übersicht der Entität im rechten Kontextbereich aufzurufen. Klicken Sie auf Ereignisse ansehen, um die Ereignisse im Zusammenhang mit der ausgewählten Entität auf dem Tab „Suchereignisse“ aufzurufen.
  • Verknüpfte Entitäten: Hier werden andere Entitäten angezeigt, die mit dieser Domain in Verbindung stehen, z. B. Assets, die diese Domain kontaktiert haben. Die Liste enthält den Entitätstyp, wann die Entität zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann sie zuletzt erkannt wurde. Klicken Sie auf eine Entität, um den Bereich Entitätskontext zu öffnen.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben. In diesem Bereich werden je nach Art der Entität, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben, unterschiedliche Informationen angezeigt (z. B. IP-Adresse oder Domain).
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Domain-Prüfung auf. Weitere Informationen finden Sie unter Domain untersuchen.

Dateidetails

Wenn die UDM-Suchabfrage eine Bedingung enthält, die eine einzelne Datei zurückgibt, z. B. principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", werden auf dem Tab Übersicht die Details zur Datei mit Informationen in den folgenden Bereichen angezeigt:

  • Suchergebnisse – Zusammenfassung: Hier werden die folgenden Informationen angezeigt:
    • Details zur Datei, einschließlich Hash-Werten, Dateigröße, Zeitpunkt der ersten und letzten Erkennung in Ihrem Unternehmen Klicken Sie auf VT-Kontext, um Informationen zur Datei von VirusTotal aufzurufen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, die sich im angegebenen Zeitraum auf die Entität beziehen. Außerdem wird eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen aufzurufen, die im selben Zeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element zu starten.
    • Klicken Sie auf eine der Balken im Diagramm, um auf der Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen und alle Entitätsfelder aufzurufen, die mit der Datei verknüpft sind. Wenn Sie ein Entitätsfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Entitätsfeld, dann auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie oben auf das Kästchen, um alle Entitäten auszuwählen.
  • Relevante IOCs: Hier werden die IOCs angezeigt, die mit der Datei verknüpft sind. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den Namen des IOC klicken, wird rechts die Entitätsansicht geöffnet.
  • Prävalenz von Assets: Die Anzahl der Assets in Ihrem Unternehmen, die mit der Datei für den gesamten Zeitraum der in Ihrem Google Security Operations-Konto gespeicherten Daten verknüpft sind.
  • Verknüpfte Entitäten: Hier werden andere Entitäten angezeigt, die mit dieser Datei in Beziehung stehen, z. B. ein Asset, in dem diese Datei ausgeführt wurde, oder Nutzer, die auf die Datei zugegriffen haben. Die Liste enthält den Entitätstyp, den Zeitpunkt der ersten und der letzten Erkennung in Ihrem Unternehmen. Klicken Sie auf eine Entität, um den Bereich Entitätskontext zu öffnen.
  • VirusTotal-Eigenschaften und ‑Metadaten: Hier werden Informationen zur Datei aus der VirusTotal-Datenbank angezeigt. Klicken Sie auf Mehr anzeigen, um ein VirusTotal-Dialogfeld mit weiteren Informationen zur Datei zu öffnen.
  • Verknüpfte Entitäten: Je nach Art der Entität, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben (z. B. Nutzer oder Asset), werden unterschiedliche Informationen angezeigt.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben. In diesem Bereich werden je nach Art der Entität, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben (z. B. Nutzer oder Asset), unterschiedliche Informationen angezeigt.
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Datei auf. Weitere Informationen finden Sie unter Datei untersuchen.

IP-Details

Wenn die UDM-Suchanfrage eine Bedingung enthält, die eine bestimmte externe IP-Adresse zurückgibt, z. B. target.ip="203.0.113.254", werden auf dem Tab Übersicht die IP-Details mit Informationen in den folgenden Bereichen angezeigt:

  • Suchergebnisse – Zusammenfassung: Hier werden die folgenden Informationen angezeigt:
    • Details zur IP-Adresse, einschließlich des ersten und des letzten Auftretens in Ihrem Unternehmen. Klicken Sie auf VT-Kontext, um Informationen zu dieser IP-Adresse von VirusTotal aufzurufen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, die sich auf die Entität im angegebenen Zeitraum beziehen. Außerdem wird eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen aufzurufen, die im selben Zeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element zu starten.
    • Klicken Sie auf eine der Balken im Diagramm, um auf der Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen und alle Entitätsfelder aufzurufen, die mit der IP-Adresse verknüpft sind. Wenn Sie ein Entitätsfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Entitätsfeld, dann auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie oben auf das Kästchen, um alle Entitäten auszuwählen.
  • Relevante IOCs: Hier werden IOCs angezeigt, die mit der IP-Adresse verknüpft sind. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den Namen des IOC klicken, wird rechts die Entitätsansicht geöffnet.
  • Prävalenz von Assets: Die Anzahl der Assets in Ihrem Unternehmen, die sich im angegebenen Zeitraum der UDM-Suche mit der IP-Adresse verbunden haben.
  • Zugeordnete Entitäten: Hier werden andere Entitäten angezeigt, die mit dieser IP-Adresse verknüpft sind, z. B. Domains, für die die IP-Adresse registriert ist. Die Liste enthält den Entitätstyp, wann die Entität zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann sie zuletzt erkannt wurde. Klicken Sie auf eine Entität, um den Bereich Entitätskontext zu öffnen.
  • Entitätskontext: Hier finden Sie Details zur Entität, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben. In diesem Bereich werden je nach Art der Entität, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben, unterschiedliche Informationen angezeigt (z. B. Domain oder Asset). Wenn der Link angezeigt wird, klicken Sie auf VT-Kontext, um Informationen zur Entität von VirusTotal aufzurufen.
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Untersuchung von IP-Adressen auf. Weitere Informationen finden Sie unter IP-Adresse untersuchen.

Nutzerdetails

Wenn die UDM-Suchabfrage eine Bedingung enthält, die einen bestimmten Nutzer zurückgibt, z. B. principal.user.userid="alice", werden auf dem Tab Übersicht die Details zum Nutzer mit Informationen in den folgenden Bereichen angezeigt:

  • Suchergebnisse – Zusammenfassung: Hier werden die folgenden Informationen angezeigt:
    • Details zur Entität, einschließlich des vollständigen Namens, des ersten und letzten Auftretens in Ihrem Unternehmen, des Titels und der E-Mail-Adresse.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, die sich auf die Entität im angegebenen Zeitraum beziehen. Außerdem wird eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen aufgeführt.
    • Klicken Sie auf Benachrichtigungen und IOCs öffnen, um alle Benachrichtigungen aufzurufen, die im selben Zeitraum generiert wurden.
    • Klicken Sie auf Auf dem Tab „Benachrichtigungen“ ansehen, um auf dieser Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element zu starten.
    • Klicken Sie auf eine der Balken im Diagramm, um auf der Seite zum Tab Benachrichtigungen zu wechseln und eine neue Suche für das ausgewählte Element mit dem Zeitraum des angeklickten Balkens zu starten.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitfenfelde zu öffnen und alle Entitätsfelder aufzurufen, die mit dem Nutzer verknüpft sind. Wenn Sie ein Entitätsfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Entitätsfeld, dann auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie oben auf das Kästchen, um alle Entitäten auszuwählen.
  • Verknüpfte Entitäten: Hier werden Entitäten angezeigt, die mit diesem Nutzer in Verbindung stehen, z. B. Domains, die der Nutzer kontaktiert hat, oder Assets, auf die er zugegriffen hat. Die Liste enthält den Entitätstyp, wann die Entität zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann sie zuletzt erkannt wurde. Klicken Sie auf eine Entität, um den Bereich Entitätskontext zu öffnen.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben. Die Informationen in diesem Bereich unterscheiden sich je nach Art des Rechtssubjekts (z. B. Asset oder Domain).
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Nutzer auf. Weitere Informationen finden Sie unter Nutzer untersuchen.

Tab „Ereignisse“

Auf dem Tab Ereignisse werden die Ereignisse angezeigt, die im angegebenen Zeitraum mit Ihrer UDM-Suche verknüpft sind. Diese Ereignisse sind in der Tabelle Ereignisse aufgeführt. Wenn Sie auf den Zeitstempel eines Ereignisses klicken, wird ein Dialogfeld mit den zugehörigen Assets und Dateien geöffnet. Wenn Sie auf eines dieser Elemente klicken, wird das Steuerfeld Entitätskontext geöffnet. Dort finden Sie weitere Informationen zur Entität, einschließlich einer Liste aller zugehörigen Benachrichtigungen und eines Benachrichtigungsdiagramms, das die Häufigkeit dieser Benachrichtigungen im Zeitverlauf zeigt.

Weitere Informationen zu UDM-Ereignissen finden Sie unter Struktur eines UDM-Ereignisses.

Verwenden Sie die Option Pivot, um die Pivot-Einstellungen zu öffnen. Mit diesen Einstellungen können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Ergebnisse der UDM-Suche analysieren. Weitere Informationen finden Sie unter Ereignisse mithilfe der Pivot-Tabelle analysieren.

Diagramm mit Trend im Zeitverlauf

Im Diagramm Trend im Zeitverlauf werden die Ereignisse im angegebenen Zeitraum der UDM-Suche angezeigt. Warnungen werden unter dem Diagramm rot angezeigt. Wenn Sie auf eine der Balken klicken, wird der Tab Ereignisse auf diesen Zeitraum eingegrenzt. Die mit diesem Zeitblock verknüpften Ereignisse werden in der Tabelle Ereignisse angezeigt.

Diagramm zur Domainverbreitung

Im Diagramm Domainprävalenz sehen Sie, wie häufig die Domains, die mit Ihrer Suche verknüpft sind, in Ihrem Unternehmen vorkommen. Wenn Sie den Mauszeiger auf einen der Kreise im Diagramm bewegen, wird die entsprechende Domain angezeigt. Sie können die Suche dann auf Ereignisse beschränken, die mit dieser Domain verknüpft sind. Das Diagramm wird nur angezeigt, wenn Ihre UDM-Suche eine Domain enthält.

Tab "Alerts" ("Warnungen")

Auf dem Tab Benachrichtigungen finden Sie detaillierte Informationen zu den Benachrichtigungen, die mit Ihrer UDM-Suche verknüpft sind.

  • Diagramm: Die Anzahl der Benachrichtigungen pro Zeitraum im in der UDM-Suche angegebenen Zeitraum. Der Zeitraum variiert je nach Länge der Suche. Mit dem Kästchen Gefilterte Benachrichtigungen können Sie die Benachrichtigungen anzeigen oder ausblenden, die mit den Optionen unter Filter verarbeitet wurden. Mit dem Kästchen Benachrichtigungen abfragen können Sie alle Benachrichtigungen anzeigen oder ausblenden, die von der UDM-Suche verarbeitet wurden.
  • Filter: Hier können Sie Benachrichtigungen anhand der aufgeführten Optionen filtern. Sie können beispielsweise auf Schweregrad, dann auf die Menüoption für Mittel und dann auf Nur anzeigen klicken. Das Diagramm und die Tabelle werden neu geladen, sodass nur Benachrichtigungen mit mittlerer Wichtigkeit angezeigt werden.
  • Tabelle Benachrichtigungen: Hier werden die Benachrichtigungen angezeigt, die mit der UDM-Suche verknüpft sind. Wenn Sie auf eine Benachrichtigung klicken, wird der Benachrichtigungsanzeiger geöffnet, in dem weitere Informationen angezeigt werden. Wenn Sie auf Details ansehen klicken, wird die Ansicht Benachrichtigungen und IOCs geöffnet (siehe Benachrichtigungen und IOCs aufrufen). Wenn Sie in der Grafik auf eine bestimmte Filterleiste klicken, werden nur die mit dieser Leiste verknüpften Benachrichtigungen angezeigt. Wenn Sie Filter hinzufügen, wird die Tabelle ebenfalls neu geladen und es werden nur die Benachrichtigungen angezeigt, die mit Ihren Auswahlen verknüpft sind.