Untersuchen: Erstellen einer angepassten Abfrage

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Sie können in der Ansicht „Untersuchen > Navigation“ oder „Ereignisse“ eine Abfrage erstellen, anstatt sich durch die Metaschlüssel und Werte zu klicken, um einen Drill-down in die Metadaten auszuführen. Die Dialogfelder zum Erstellen einer Abfrage bieten Syntaxhilfe mit Drop-down-Listen der anwendbaren Metaschlüssel und Operanden. Wenn Sie die Drop-down-Liste anzeigen, können Sie alle Metagruppen erweitern und reduzieren, um die einzelnen Metaschlüssel in der Gruppe anzuzeigen oder diese auszublenden.

Hinweis: In Version 11.1 und höher können Sie Metaentitäten sowie Metaschlüssel abfragen.

Wenn Sie eine Metagruppe ausgewählt haben, erzeugt NetWitness Suite eine komplexe Abfrage, die einer Abfrage entspricht, bei der alle Metaschlüssel in dieser Gruppe mit „OR“ verknüpft werden. Wenn eine Metagruppe also ip.src und ip.dst enthält, wäre die generierte Abfrage ip.src = <value> OR ip.dst = <value>. Wenn eine Metagruppe Metaschlüssel mit unterschiedlichen Typen von Metawerten enthält, wird die Werteingabe deaktiviert und die Abfrage verwendet exists-Anweisungen. Eine Metagruppe, die zum Beispiel ip.src, ip.dst und alias.host enthält, umfasst Metaschlüssel, die unterschiedliche Typen von Werten haben; ip.src und ip.dst sind IP-Adressen und alias.host ist Text. Die generierte Abfrage lautet ip.src exists OR ip.dst exists OR alias.host exists.

Eine Basisabfrage hat folgende Form:

<metakey> <operator> [<metavalue>]

Es folgen einige Beispiele:
action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"

Erstellen einer Abfrage mithilfe der Basismethode

Wenn Sie mithilfe der Basismethode eine Abfrage erstellen, liefert NetWitness Suite Drop-down-Listen von Metadaten und Operatoren.

  1. Wählen Sie in der Symbolleiste der Ansicht „Navigation“ oder der Ansicht „Ereignisse“ die Option Abfrage aus.
    Das Dialogfeld „Abfrage“ wird mit ausgewählter Option „Einfach“ angezeigt.
    Simple Query drop-down
  2. Klicken Sie in das Feld Metadaten auswählen, um die Drop-down-Liste anzuzeigen. Die Drop-down-Liste besteht aus zwei Abschnitten: Metagruppen und Alle Metadaten.
  3. Wählen Sie einen einzigen Metaschlüssel unter Alle Metadaten aus oder wählen Sie eine Metagruppe unter Metagruppen aus. Sie können auch einen Metaschlüssel oder eine Metagruppe in das Feld eingeben.
  4. Geben Sie in das Feld Operand einen Operanden ein oder klicken Sie auf die Drop-down-Liste, um einen gültigen Operanden auszuwählen.
  5. (Optional) Wenn Sie einen Operator auswählen, der einen Wert erfordert, zum Beispiel „BEGIN“, geben Sie im dritten Feld den Wert für den Metaschlüssel ein.
  6. Wählen Sie in den Kontrollkästchen „Netzwerk“, „Protokoll“ und „Endpunkt“ den Datentyp zur Abfrage aus. Führen Sie einen der folgenden Schritte aus:
    1. Begrenzen Sie die Abfrage auf Pakete, indem Sie Netzwerk auswählen und Protokoll und Endpunkt deaktivieren.
    2. Begrenzen Sie die Abfrage auf Protokolle, indem Sie Protokoll auswählen und Netzwerk und Endpunkt deaktivieren.
    3. Begrenzen Sie die Abfrage auf Endpunktereignisse, indem Sie Endpunkt auswählen und Netzwerk und Protokoll deaktivieren.

    4. Wenden Sie die Abfrage auf Pakete, Protokolle und Endpunkte an, indem Sie Netzwerk, Protokoll und Endpunkt auswählen.
  7. Führen Sie einen der folgenden Schritte aus:
    1. Klicken Sie auf Anwenden.
      Das Fenster wird geschlossen und die Ansicht wird mit den Ergebnissen der neuen Abfrage aktualisiert. Die Abfrage wird im Breadcrumb angezeigt.
    2. Klicken Sie auf Abbrechen.
      Das Fenster wird geschlossen und es werden keine Änderungen an der Ansicht oder aktuellen Abfrage vorgenommen.

Erstellen einer Abfrage mithilfe der erweiterten Methode

  1. Wählen Sie in der Symbolleiste der Ansicht „Navigation“ oder der Ansicht „Ereignisse“ die Option Abfrage aus.
    Das Dialogfeld „Abfrage“ wird angezeigt.
    Simple Query drop-down
  2. Wählen Sie die Option Erweitert aus.
    Das Feld „Erweiterte Abfrage“ wird angezeigt.
    Advanced Query drop-down
  3. Erstellen Sie in dem Feld eine Abfrage, welche den Metaschlüssel, den Operator und den Wert enthalten kann. Wenn Sie mit dem Eingeben eines Metaschlüssels in das Feld beginnen, wird eine Drop-down-Liste mit den verfügbaren Metaschlüsseln für den ausgewählten Service angezeigt.
  4. Wählen Sie den Metaschlüssel für Ihre Abfrage aus.
    Die Anzeige wird aktualisiert. Wenn der Ausdruck noch nicht abgeschlossen ist, gibt der Status an, dass die Abfrage ungültig ist.
  5. Fahren Sie mit einem Operanden aus der Drop-down-Liste fort und dann, falls erforderlich, mit einem Wert. Die Anzeige wird aktualisiert, wenn Sie mit der Eingabe der Abfrage fortfahren. Wenn Sie einen Operator wie exists oder !exists eingeben, der das Feld „Werte“ nicht verwendet, wird das Feld „Werte“ deaktiviert und der Status „ungültig“ aufgehoben. Wenn Sie einen Operanden wie = eingeben, bei dem das Feld Werte erforderlich ist, bleibt der Status „ungültig“ so lange erhalten, bis Sie einen Wert eingeben. Wenn die Abfrage gültig ist, wird der Status „ungültig“ nicht länger angezeigt.
    Invalid Expression Warning
  6. Führen Sie einen der folgenden Schritte aus:
    • Klicken Sie auf Anwenden.
      Das Fenster wird geschlossen und die Ansicht wird mit den Ergebnissen der neuen Abfrage aktualisiert. Die Abfrage wird im Breadcrumb angezeigt.
    • Klicken Sie auf Abbrechen.
      Das Fenster wird geschlossen und es werden keine Änderungen an der Ansicht oder aktuellen Abfrage vorgenommen.

Anwenden einer zuletzt verwendeten Abfrage

Sie können zuletzt verwendete Abfragen anzeigen und eine auswählen, um sie auf den aktuell untersuchten Service anzuwenden. So wählen Sie eine zuletzt verwendete Abfrage aus:

  1. Wählen Sie in der Symbolleiste der Ansicht „Navigation“ oder der Ansicht „Ereignisse“ die Option Abfrage aus.
    Das Dialogfeld „Abfrage“ wird mit ausgewählter Option „Einfach“ angezeigt.
    Simple Query drop-down
  2. Wählen Sie die Option Zuletzt verwendet aus.
    Die Liste der zuletzt verwendeten Abfragen wird im unteren Teil des Dialogfelds angezeigt.
    Recent Query drop-down
  3. Klicken Sie in die Liste der zuletzt verwendeten Abfragen, um eine Abfrage auszuwählen.
  4. Führen Sie einen der folgenden Schritte aus:
    • Doppelklicken Sie auf eine Abfrage.
    • Wählen Sie eine Abfrage aus und klicken Sie auf Anwenden.
      Das Fenster wird geschlossen und die Ansicht wird mit den Ergebnissen der neuen Abfrage aktualisiert. Die Abfrage wird im Breadcrumb angezeigt.
    • Klicken Sie auf Abbrechen.
      Das Fenster wird geschlossen und es werden keine Änderungen an der Ansicht oder aktuellen Abfrage vorgenommen.
You are here
Table of Contents > Abfragen von und Reagieren auf Daten in den Ansichten „Navigation“ und „Ereignisse“ > Erstellen einer angepassten Abfrage

Attachments

    Outcomes