Untersuchen: Dialogfeld „Abfrage“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Sie können in der Ansicht „Navigation“ oder „Ereignisse“ eine Abfrage erstellen, anstatt durch die Metaschlüssel und Werte zu klicken, um einen Drill-down in die Metadaten auszuführen. Die Dialogfelder zum Erstellen einer Abfrage bieten Syntaxhilfe mit Drop-down-Listen der anwendbaren Metaschlüssel und Operanden. Um auf dieses Dialogfeld über die Symbolleiste der Ansicht Navigieren oder Ereignisse zuzugreifen, klicken Sie auf Abfrage.

Workflow

high-level Investigate workflow with Browse Event Metadata and Browse Raw Events highlighted

Was möchten Sie tun?

                                                     
BenutzerrolleZiel11.1 Dokumentation
Threat Hunter

Durchsuchen von Ereignismetadaten*

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Durchsuchen von Raw-Ereignissen*

Starten einer Ermittlung in der Ansicht „Navigation“ oder „Ereignisse“

Threat Hunter

Analyse von Raw-Ereignissen und Metadaten

Starten einer Ermittlung in der Ansicht „Ereignisanalyse“

Threat HunterUntersuchen von Endpunkten (Version 11.1)Untersuchen von Hosts

Threat Hunter

Verdächtige Endpunktdateien finden (Version 11.1)

Untersuchen von Dateien

Threat HunterDateien und Ereignisse auf Schadsoftware scannenDurchführen von Schadsoftwareanalysen

Incident-Experte

Priorisieren eines Incident in „Untersuchen“

NetWitness Respond – Benutzerhandbuch

Threat Huntereine angepasste Abfrage erstellen*Erstellen einer angepassten Abfrage

*Sie können diese Aufgabe in der aktuellen Ansicht durchführen.

Verwandte Themen

Überblick

This is the Simple Query drop-down

Das Dialogfeld „Abfrage“ umfasst drei Ansichten:

  • Einfach
  • Erweitert
  • Zuletzt verwendet

In der Ansicht Einfach können Sie mithilfe der im Dialogfeld angezeigten Optionen eine Abfrage erstellen. In der Ansicht „Erweitert“ können Sie ohne Anleitung eine Abfrage erstellen. In der Ansicht Aktuell können Sie eine Abfrage aus einer Drop-down-Liste aktueller Abfragen auswählen.

Ansicht „Einfach“

This is the Simple view

Ansicht „Erweitert“

This is the Advanced view

Ansicht „Aktuell“

This is the Recent view

In der folgenden Tabelle sind die Funktionen des Dialogfelds „Abfrage“ beschrieben.

                                                     
FunktionBeschreibung
Metadaten auswählenZeigt eine Drop-down-Liste der Metagruppen an
OperatorZeigt eine Drop-down-Liste mit den Operatoren (=,NetWitness Suite!=,NetWitness Suiteexists,NetWitness Suite!exists) an.
WertErmöglicht das Eingeben eines Werts zum Abschließen der Abfrage
NetzwerkBegrenzt die Abfrage auf Pakete, wenn Protokoll nicht ausgewählt ist
ProtokollBegrenzt die Abfrage auf Pakete, wenn Netzwerk nicht ausgewählt ist
Feld „Abfrage“ Ermöglicht das Eingeben eine Abfrage in der Ansicht „Erweitert“. Wenn Sie zu tippen beginnen, wird eine Drop-down-Liste der verfügbaren Metaschlüssel für den Service angezeigt, danach wird beim Tippen eine Drop-down-Liste der Operatoren angezeigt. Wenn der aktuell eingegebene Ausdruck im Feld Abfrage ungültig ist, wird eine Warnung in der Nähe des Felds angezeigt. Wenn die Abfrage gültig ist, wird die Warnung ausgeblendet.
AbfragelisteErmöglicht das Auswählen einer Abfrage aus einer Liste aktueller Abfragen in der Ansicht „Aktuell“. Durch Doppelklicken auf eine Abfrage wird diese Option automatisch angewendet.
AnwendenWendet die neue Abfrage auf die aktuelle Investigation-Ansicht an
Abbrechen Schließt das Dialogfeld, ohne die Änderungen anzuwenden.
ZurücksetzenSetzt alle Felder zurück.
You are here
Table of Contents > Investigate-Referenzmaterialien > Dialogfeld „Abfrage“

Attachments

    Outcomes