Entität mithilfe der UDM-Suche untersuchen

Unterstützt in:

Während einer Prüfung können Sie eine UDM-Suchabfrage schreiben, um Details aufzurufen über ein oder mehrere Entitäten (z. B. eine IP-Adresse, einen Nutzer oder ein Asset) zusätzlich zu den Ereignissen und Alerts, die den Suchbegriffen entsprechen.

Auf Systemen mit RBAC für Daten können Sie nur Daten sehen, die Ihren Bereiche. Weitere Informationen finden Sie im Hilfeartikel Auswirkungen von RBAC auf Daten in der Google Suche.

Wenn eine Suchanfrage eine Bedingung enthält, die eine bestimmte Entität identifiziert (für Beispiel: principal.ip="10.0.31.20"), enthalten die Suchergebnisse Details zu die Entität (falls in Ihrem Unternehmen vorhanden) zusätzlich zu den UDM-Ereignissen, die übereinstimmen, der gesamten Suchanfrage.

Der Bereich mit den Suchergebnissen enthält die folgenden Tabs:

  • Übersicht: Details zu einer oder mehreren Entitäten.
  • Ereignisse: Suchergebnisse, die mit der gesamten Suche übereinstimmen Zeitraum der Suchanfrage und der Suche.
  • Benachrichtigungen: Benachrichtigungen, die durch Ereignisse generiert werden, die den der gesamten Suchanfrage.

Bedingungen für UDM-Suchanfragen können sowohl UDM-Felder (principal.hostname="alice") als auch gruppierte Felder (hostname="alice") enthalten.

Die UDM-Suchabfrage kann mehrere Bedingungen enthalten, mit denen jeweils ein eine andere Entitäts-ID. Beispiele für Abfragen:

  • principal.hostname="alicehost" and user="alice"
  • principal.hostname="alicehost" and (user="kai" or user="alice")
  • principal.hostname="alicehost" and target.hostname="altostrat.com"
  • principal.hostname="alicehost" and hash="40a80612aaa8a8a36aa82a1278aaa02a"
  • hostname="alicehost" and domain=/altostrat.com/ nocase
  • user="alice" and domain=/altostrat.com/ nocase

Die folgende Tabelle enthält Beispiele für UDM-Suchabfragen für eine oder mehrere Entitäten und die Art der angezeigten Informationen:

Informationstyp Beispiele für UDM-Suchanfragen
Asset
  • hostname="laptop-kai"
  • principal.hostname="laptop-kai"
  • principal.ip="10.0.0.76" //(private IP address)
  • principal.mac="c5:0c:9c:aa:bb:c4"
  • principal.hostname="laptop-kai" and metadata.event_type = "NETWORK_CONNECTION"
  • hostname="laptop-kai" or hostname="desktop-kai"
Domain
  • domain="example.com"
  • target.hostname="example.com"
Datei
  • hash="44a88612faa8a8f36ae82a1278aaa02a"
  • principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a"
IP-Adresse
  • ip="8.8.8.8"
  • target.ip="203.0.113.204" //(public IP address)
Nutzer
  • user="alice"
  • target.user.email_address="smitha@example.com"
  • principal.user.userid="alice" or target.user.userid = "smitha"
  • email="john@altostrat.com" or email="alice@example.com"
  • principal.user.userid="smitha"

Tab "Übersicht"

Auf dem Tab Übersicht werden Informationen zu Entitäten in einem der folgenden Bereiche angezeigt: vordefinierte Informationstypen. Welche Informationen angezeigt werden, hängt davon ab, Informationstyp.

Asset-Details

Wenn die UDM-Suchanfrage eine Bedingung enthält, die ein bestimmtes Asset zurückgibt, z. B. principal.hostname="laptop-will" oder principal.ip="10.0.0.76", wird auf dem Tab Übersicht die Asset-Ansicht mit Informationen in den folgenden Bereichen angezeigt:

  • Zusammenfassung der Suche: Es werden die folgenden Informationen angezeigt:
    • Details zur Entität, einschließlich der IP-Adresse und MAC-Adresse, die im angegebenen Zeitraum mit dem Asset verknüpft waren. Die IP-Adresse und MAC-Adresse können auch zum Identifizieren einer Entität verwendet werden. geklickt hat, um zusätzliche Informationen im Entitäts-Viewer anzuzeigen. Außerdem gibt an, wann das Asset zum ersten Mal in Ihrem Unternehmen verwendet wurde Sie wurde zuletzt (zuletzt) gesehen. Sie können auf einen der Zeitstempel (erste oder zuletzt, um eine neue Suche mit dieser Uhrzeit durchzuführen.
    • Details zu Benachrichtigungen, einschließlich einer Grafik mit der Anzahl der Benachrichtigungen die innerhalb des Suchzeitraums mit der Entität beteiligt waren. Das Gremium Listet eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen auf.
    • Klicken Sie auf Benachrichtigungen öffnen und IOCs, um alle Benachrichtigungen anzuzeigen, die während Zeitraum der Suche.
    • Klicken Sie auf den Tab In Benachrichtigungen anzeigen, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element.
    • Klicken Sie auf einen der Balken im Diagramm, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element. Verwenden Sie dazu den Parameter Zeitraum des angeklickten Balkens.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen. Alle mit dem Asset verknüpften Entitätsfelder anzeigen. So kopieren Sie eine Entitätsfeld in die Zwischenablage verschieben, klicken Sie auf das Kästchen neben dem Element auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie auf das oben, um alle Entitäten auszuwählen.
  • Relevante Bedrohungsindikatoren: Die mit dem Asset verknüpften Bedrohungsindikatoren. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den IOC-Namen klicken, Entitäts-Viewer rechts.
  • Verknüpfte Entitäten: Hier werden andere Elemente angezeigt, die dieses Asset enthält. z. B. Nutzer, die sich im Asset angemeldet haben. Im Steuerfeld werden die Art der Entität, wann sie zum ersten Mal in der Umgebung erkannt wurde zuletzt (zuletzt) gesehen. Außerdem werden alle Namespaces angezeigt, die mit eines Assets. Klicken Sie auf eine Entität, um den Bereich Entitätskontext zu öffnen. Klicken Sie auf Gesamtzeit anzeigen, um die zugehörigen Entitäten für den gesamten verfügbaren Zeitraum anstelle des in der UDM-Suche angegebenen Zeitraums anzuzeigen.
  • Entitätskontext: Es werden Details zur Entität angezeigt, die Sie in die Bereich Verknüpfte Entitäten: In diesem Bereich werden unterschiedliche Informationen abhängig vom Entitätstyp, den Sie unter Verknüpfte Entitäten ausgewählt haben (z. B. „Nutzer“ oder „Domain“).
  • Zur Legacy-Ansicht: Rufen Sie die alte Asset-Prüfung auf. angezeigt wird. Weitere Informationen Siehe Asset prüfen.

Domaindetails

Wenn die UDM-Suchanfrage eine Bedingung enthält, die eine bestimmte Domain angibt, Beispiel: target.hostname="example.com" wird auf dem Tab Übersicht Details zur Domain mit Informationen in den folgenden Bereichen:

  • Suchübersicht: Hier werden die folgenden Informationen angezeigt:
    • Details zur Domain, einschließlich der WHOIS die mit der registrierten Domain verknüpft sind, in Ihrem Unternehmen gesehen haben und wann es zuletzt erkannt wurde. Klicken Sie auf VT Context, um Informationen zur Domain von VirusTotal
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, die sich im angegebenen Zeitraum auf die Entität beziehen. Das Gremium Listet eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen auf.
    • Klicken Sie auf Benachrichtigungen öffnen und IOCs, um alle Benachrichtigungen anzuzeigen, die während Zeitraum der Suche.
    • Klicken Sie auf den Tab In Benachrichtigungen anzeigen, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element.
    • Klicken Sie auf einen der Balken im Diagramm, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element. Verwenden Sie dazu den Parameter Zeitraum des angeklickten Balkens.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen. Alle Entitätsfelder anzeigen, die mit der Domain verknüpft sind. So kopieren Sie eine Entitätsfeld in die Zwischenablage verschieben, klicken Sie auf das Kästchen neben dem Element auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie auf das oben, um alle Entitäten auszuwählen.
  • Aufgelöste IP-Adressen: Zeigt alle aufgelösten IP-Adressen an, die in Ihrem Unternehmen für den voll qualifizierten Domainnamen (FQDN) gesucht wird. Wenn Sie beispielsweise nach target.hostname="test.altostrat.com" suchen, werden in den Suchergebnissen möglicherweise zwei aufgelöste IP-Adressen (198.51.100.81 und 203.0.113.81) angezeigt.
  • Subdomains und gleichgeordnete Domains: Es werden alle zugehörigen Subdomains angezeigt. die in Ihrem Unternehmen für einen bestimmten FQDN gefunden wurden. Viele Angreifer dieselbe Domain und Subdomain für ihre Angriffe verwenden. Wenn Sie beispielsweise nach target.hostname="sandbox.altostrat.com" suchen, werden in diesem Bereich zwei Subdomains angezeigt: test.sandbox.altostrat.com und staging.sandbox.altostrat.com.
  • Prävalenz von Assets: Hier sehen Sie die Anzahl der Assets in Ihrem Unternehmen. die während des gesamten Zeitraums der Daten mit der Domain verbunden waren die in Ihrem Google Security Operations-Konto gespeichert sind. Jeder Balken im Diagramm steht für die Anzahl der einzelnen Assets in Ihrem Unternehmen, die sich an einem UTC-Tag mit der Domain verbunden haben. Wenn Sie den Mauszeiger auf einen Balken bewegen, werden die zugehörigen Entitäten Der durch den Balken dargestellte UTC-Tag. Klicken Sie auf den Namen der Entität, um sie aufzurufen. Zusammenfassung und Übersicht im Kontextbereich des Elements auf der rechten Seite. Klicken Sie auf Ereignisse ansehen, um die Ereignisse im Zusammenhang mit der ausgewählten Entität auf dem Tab „Suchereignisse“ aufzurufen.
  • Verknüpfte Entitäten: Hier werden andere Entitäten angezeigt, die diese Domain haben. die mit dieser Domain in Verbindung stehen, z. B. Assets. Die Liste die Art der Entität, das Datum, an dem sie zum ersten Mal in Ihrem Unternehmen aufgetreten ist, und wann sie zuletzt (zuletzt) gesehen wurde. Klicken Sie auf eine Entität, um die Entität Bereich „Kontext“.
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben. In diesem Bereich werden unterschiedliche Informationen abhängig vom Entitätstyp, den Sie unter Verknüpfte Entitäten ausgewählt haben an (z. B. IP-Adresse oder Domain).
  • Zur Legacy-Ansicht: Rufen Sie die alte Prüfung für Domain auf. angezeigt wird. Weitere Informationen Siehe Domain untersuchen.

Dateidetails

Wenn die UDM-Suchabfrage eine Bedingung enthält, die eine einzelne Datei zurückgibt, z. B. principal.process.file.md5="a00000a75f2a35130aa7a7aaa09aaa7a", werden auf dem Tab Übersicht die Details zur Datei mit Informationen in den folgenden Bereichen angezeigt:

  • Zusammenfassung der Suche: Es werden die folgenden Informationen angezeigt:
    • Details zur Datei, einschließlich Hashwerte, Dateigröße, Datum des ersten Aufrufs sie in Ihrem Unternehmen festgestellt wurde, und das letzte Mal, als sie gesehen. Klicken Sie auf VT-Kontext, um Informationen zur Datei von VirusTotal aufzurufen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen die innerhalb des Suchzeitraums mit der Entität beteiligt waren. Das Gremium Listet eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen auf.
    • Klicken Sie auf Benachrichtigungen öffnen und IOCs, um alle Benachrichtigungen anzuzeigen, die während Zeitraum der Suche.
    • Klicken Sie auf den Tab In Benachrichtigungen anzeigen, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element.
    • Klicken Sie auf einen der Balken im Diagramm, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element. Verwenden Sie dazu den Parameter Zeitraum des angeklickten Balkens.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen. alle Entitätsfelder anzeigen, die mit der Datei verknüpft sind. Wenn Sie ein Entitätsfeld in die Zwischenablage kopieren möchten, klicken Sie auf das Kästchen neben dem Entitätsfeld, dann auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie oben auf das Kästchen, um alle Entitäten auszuwählen.
  • Relevante IOCs: zeigt die mit der Datei verbundenen IOCs an. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den IOC-Namen klicken, Entitäts-Viewer rechts.
  • Prävalenz von Assets: Hier sehen Sie die Anzahl der Assets in Ihrem Unternehmen. die mit der Datei verknüpft sind, für den gesamten Zeitraum, in dem die in Ihr Google Security Operations-Konto.
  • Verknüpfte Entitäten: Hier werden andere Elemente angezeigt, die diese Datei enthält. etwa ein Asset, in dem diese Datei ausgeführt wurde, oder Nutzer, die auf die Datei zugegriffen hat. Die Liste enthält den Typ der Entität, als sie zuerst in Ihrem Unternehmen gesehen und wann es zuletzt (zuletzt) erkannt wurde. Klicken Sie auf eine Entität, um den Bereich Entitätskontext zu öffnen.
  • VirusTotal-Eigenschaften und metadata: Es werden Informationen zum -Datei aus der VirusTotal-Datenbank. Klicken Sie auf Mehr anzeigen, um einen VirusTotal zu öffnen. und zusätzliche Informationen zur Datei anzeigen.
  • Verknüpfte Entitäten: Es werden je nach den Entitätstyp, den Sie im Bereich Verknüpfte Entitäten ausgewählt haben (für z. B. ein Nutzer oder ein Asset).
  • Entitätskontext: Hier werden Details zur Entität angezeigt, die Sie im Bereich Verknüpfte Entitäten ausgewählt haben. In diesem Bereich werden unterschiedliche Informationen abhängig vom Entitätstyp, den Sie unter Verknüpfte Entitäten ausgewählt haben (z. B. „Nutzer“ oder „Asset“).
  • Zur Legacy-Ansicht wechseln: Rufen Sie die Legacy-Ansicht für die Datei auf. Weitere Informationen Siehe Datei prüfen.

IP-Details

Wenn die UDM-Suchanfrage eine Bedingung enthält, die eine bestimmte externe IP-Adresse, z. B. target.ip="203.0.113.254", der Auf dem Tab Übersicht werden die IP-Details mit folgenden Informationen angezeigt: Bereiche:

  • Zusammenfassung der Suche: Es werden die folgenden Informationen angezeigt:
    • Details zur IP-Adresse, einschließlich des ersten und des letzten Auftretens in Ihrem Unternehmen. Klicken Sie auf VT-Kontext, um Informationen zu dieser IP-Adresse von VirusTotal aufzurufen.
    • Details zu Benachrichtigungen, einschließlich eines Diagramms mit der Anzahl der Benachrichtigungen, die sich im angegebenen Zeitraum auf die Entität beziehen. Das Gremium Listet eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen auf.
    • Klicken Sie auf Benachrichtigungen öffnen und IOCs, um alle Benachrichtigungen anzuzeigen, die während Zeitraum der Suche.
    • Klicken Sie auf den Tab In Benachrichtigungen anzeigen, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element.
    • Klicken Sie auf einen der Balken im Diagramm, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element. Verwenden Sie dazu den Parameter Zeitraum des angeklickten Balkens.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen. alle Entitätsfelder anzeigen, die mit der IP-Adresse verknüpft sind. Zum Kopieren ein Entitätsfeld in die Zwischenablage verschieben möchten, klicken Sie auf das Kästchen neben dem Element auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie auf das oben, um alle Entitäten auszuwählen.
  • Relevante Bedrohungsindikatoren: Hier sehen Sie die mit der IP-Adresse verknüpften Bedrohungsindikatoren. IOCs mit einem höheren Schweregrad werden zuerst angezeigt. Wenn Sie auf den IOC-Namen klicken, Entitäts-Viewer rechts.
  • Prävalenz von Assets: Hier sehen Sie die Anzahl der Assets in Ihrem Unternehmen. die im angegebenen Zeitraum mit der IP-Adresse verbunden waren, UDM-Suche:
  • Verknüpfte Entitäten: Hier werden andere Entitäten angezeigt, die die IP-Adresse zu denen die IP-Adresse gehört, z. B. Domains, auf die die IP-Adresse registriert ist. Die Liste die Art der Entität, das Datum, an dem sie zum ersten Mal in Ihrem Unternehmen aufgetreten ist, und wann sie zuletzt (zuletzt) gesehen wurde. Klicken Sie auf eine Entität, Bereich Entitätskontext:
  • Entitätskontext: Es werden Details zur Entität angezeigt, die Sie in die Bereich Verknüpfte Entitäten: In diesem Bereich werden unterschiedliche Informationen abhängig vom Entitätstyp, den Sie unter Verknüpfte Entitäten ausgewählt haben (z. B. Domain oder Asset). Wenn der Link angezeigt wird, klicken Sie auf VT-Kontext, um Informationen zur Entität von VirusTotal aufzurufen.
  • Zur Legacy-Ansicht: Rufen Sie die alte Prüfung IP-Adresse auf. angezeigt wird. Weitere Informationen Siehe IP-Adresse prüfen.

Nutzerdetails

Wenn die UDM-Suchanfrage eine Bedingung enthält, die einen bestimmten Nutzer zurückgibt, Beispiel principal.user.userid="alice" wird auf dem Tab Übersicht Nutzerdetails mit Informationen in den folgenden Bereichen:

  • Zusammenfassung der Suche: Es werden die folgenden Informationen angezeigt:
    • Details zur Entität, einschließlich des vollständigen Namens, zum ersten Mal in Ihr Unternehmen und die letzte (zuletzt) angezeigte Zeit, den Titel und die E-Mail Adresse.
    • Details zu Benachrichtigungen, einschließlich einer Grafik mit der Anzahl der Benachrichtigungen die innerhalb des Suchzeitraums mit der Entität beteiligt waren. Das Gremium Listet eine Teilmenge der Regeln mit der höchsten Anzahl von Benachrichtigungen auf.
    • Klicken Sie auf Benachrichtigungen öffnen und IOCs, um alle Benachrichtigungen anzuzeigen, die während Zeitraum der Suche.
    • Klicken Sie auf den Tab In Benachrichtigungen anzeigen, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element.
    • Klicken Sie auf einen der Balken im Diagramm, um zum Tab Benachrichtigungen zu wechseln. Seite und starten Sie eine neue Suche für das ausgewählte Element. Verwenden Sie dazu den Parameter Zeitraum des angeklickten Balkens.
    • Klicken Sie auf den Link Mehr anzeigen, um die Ansicht Entitätsfelder zu öffnen. werden alle Entitätsfelder angezeigt, die mit dem Nutzer verknüpft sind. So kopieren Sie eine Entitätsfeld in die Zwischenablage verschieben, klicken Sie auf das Kästchen neben dem Element auf Aktionen ansehen und dann auf Entität kopieren. Klicken Sie oben auf das Kästchen, um alle Entitäten auszuwählen.
  • Verknüpfte Entitäten: Es werden Entitäten angezeigt, mit denen der Nutzer verknüpft ist. z. B. Domains, die der Nutzer kontaktiert hat, oder Assets, auf die er zugegriffen hat. Die Liste die Art der Entität, das Datum, an dem sie zum ersten Mal in Ihrem Unternehmen aufgetreten ist, und wann sie zuletzt (zuletzt) gesehen wurde. Klicken Sie auf eine Entität, um die Entität Bereich „Kontext“.
  • Entitätskontext: Es werden Details zur Entität angezeigt, die Sie in den Bereich Verknüpfte Entitäten: Die Informationen in diesem Bereich sind anders je nach Art der Entität (z. B. Inhalt oder Domain).
  • Zur alten Ansicht: Rufen Sie die alte Prüfung Nutzer auf. angezeigt wird. Weitere Informationen Siehe Nutzer untersuchen.

Tab "Ereignisse"

Auf dem Tab Ereignisse werden die Ereignisse angezeigt, die mit Ihrer UDM-Suche im bestimmten Zeitraum. Diese Ereignisse sind in der Tabelle Ereignisse aufgeführt. Wenn Sie auf den Zeitstempel eines Ereignisses klicken, wird ein Dialogfeld mit den zugehörigen Assets und Dateien geöffnet. Wenn Sie auf eines dieser Elemente klicken, wird der Bereich Entitätskontext geöffnet. mit zusätzlichen Informationen zur Entität, einschließlich einer Liste aller zugehörige Benachrichtigungen und ein Benachrichtigungsdiagramm mit der Häufigkeit dieser Benachrichtigungen .

Weitere Informationen zu UDM-Ereignissen finden Sie unter Struktur eines UDM-Ereignisses.

Verwenden Sie die Option Pivot, um die Pivot-Einstellungen zu öffnen. Mit diesen Einstellungen können Sie Ereignisse mithilfe von Ausdrücken und Funktionen anhand der Ergebnisse aus der UDM-Suche analysieren. Weitere Informationen finden Sie unter Pivot-Tabelle zum Analysieren verwenden Ereignisse.

Diagramm zum Trend im Zeitverlauf

Im Diagramm Trend im Zeitverlauf werden die Ereignisse im angegebenen Zeitraum der UDM-Suche angezeigt. Benachrichtigungen werden unter dem Diagramm rot dargestellt. Wenn Sie auf eine der der Balken schränkt den Fokus des Tabs Ereignisse auf diesen Zeitraum ein. Die Ereignisse, die mit diesem Zeitfenster verknüpft sind, werden in der Tabelle Ereignisse angezeigt.

Diagramm zur Domainprävalenz

Im Diagramm Domainprävalenz wird die Verbreitung der Domains dargestellt. die mit Ihrer Suche in Ihrem Unternehmen verknüpft sind. Wenn Sie mit der Maus auf eine der zeigt die jeweilige Domain an und ermöglicht es Ihnen, nur nach Ereignissen suchen, die mit dieser Domain verknüpft sind. Das Diagramm wird nur angezeigt, wenn Ihre UDM-Suche eine Domain enthält.

Tab "Alerts" ("Warnungen")

Auf dem Tab Benachrichtigungen können Sie detaillierte Informationen zu den Benachrichtigungen aufrufen. mit Ihrer UDM-Suche verknüpft ist.

  • Diagramm: Die Anzahl der Benachrichtigungen pro Zeitraum im in der UDM-Suche angegebenen Zeitraum. Der Zeitraum variiert je nach Länge der Suche. Die Mit dem Kästchen Gefilterte Benachrichtigungen können Sie die Benachrichtigungen ein- oder ausblenden, die Filteroptionen. Mit dem Kästchen Benachrichtigungen abfragen können Sie alle Benachrichtigungen anzeigen oder ausblenden, die von der UDM-Suche verarbeitet wurden.
  • Filter: Damit können Sie Benachrichtigungen mit den aufgeführten Optionen filtern. Für Sie können beispielsweise auf Schweregrad und dann auf die Menüoption Medium klicken. und wählen Sie Nur anzeigen aus. Die Grafik und die Tabelle werden neu geladen, Warnungen mit mittlerem Schweregrad.
  • Tabelle Benachrichtigungen: Hier werden die Benachrichtigungen angezeigt, die mit der UDM-Suche verknüpft sind. Wenn Sie auf eine Benachrichtigung klicken, wird die Benachrichtigungsansicht geöffnet, in der weitere Informationen. Wenn Sie auf Details ansehen klicken, wird die Ansicht Benachrichtigungen und IOCs geöffnet. Weitere Informationen finden Sie unter Benachrichtigungen und IOCs ansehen. Wenn auf eine bestimmte Filterleiste in der Grafik klicken, werden nur die mit dieser Leiste angezeigt. Wenn Sie Filter hinzufügen, aktualisiert und zeigt nur die Benachrichtigungen an, die mit Ihrer Auswahl verknüpft sind.