Untersuchen: Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Platform Version 11.1 und höher.

In NetWitness PlatformVersion 11.0 senden Sie eine Abfrage in der Ansicht „Navigation“ oder der Ansicht „Ereignisse“ und wenn Sie zur Ansicht „Ereignisanalyse“ wechseln, zeigt eine schreibgeschützte Brotkrümelnavigation die eingereichte Abfrage an. Sie müssen zur Ansicht „Ereignisse“ oder zur Ansicht „Navigation“ zurückkehren, wenn Sie eine andere Abfrage eingeben möchten.

In Version 11.1 oder höher füllt eine Abfrageerstellung die interaktive Brotkrümelnavigation in der Ansicht „Ereignisanalyse“ auf, sodass Sie jeden <meta key> <operator> <meta value>-Filter in der Brotkrümelnavigation erstellen und bearbeiten können. Darüber hinaus können Sie einen anderen Service und Zeitbereich auswählen, ohne zur Ansicht „Navigation“ oder „Ereignisse“ zurückzukehren. Der Rest dieses Abschnitts enthält Informationen zur Verwendung der Funktionen der Abfrageerstellung.

Funktionsweise der Brotkrümelnavigation

Wenn Sie in Investigate auf die Option „Ereignisanalyse“ klicken, um die Ansicht zu öffnen, wird die Service- und Zeitbereichsauswahl angezeigt. Standardmäßig ist der erste Service automatisch ausgewählt (es sei denn, Sie haben zuvor einen Service ausgewählt und der ausgewählte Service befindet sich im Browser). Wenn Sie keinen Zeitbereich auswählen, wird der Standardzeitbereich (3 Stunden) verwendet. Das Abfrageerstellungsfeld ist ein leeres Feld rechts neben dem Zeitbereich.

Wenn Sie die Ansicht „Ereignisanalyse“ über die Ansicht „Ereignisse“ oder die Ansicht „Navigation“ öffnen, werden der Service, der Zeitbereich und alle Filter, die in der Ansicht „Ereignisse“ oder der Ansicht „Navigation“ ausgewählt wurden, in der Brotkrümelnavigation angezeigt. Der Service, der Zeitbereich und die einzelnen Filter können geändert werden.

Ab Version 11.2 können fortgeschrittene Analysten zusätzlich zum Erstellen einer Frage im geleiteten Modus eine Abfrage im Freitextmodus eingeben. Der Standardmodus ist der geleitete Modus. Er enthält Optionen für automatische Vorschläge und Validierung. Im Freitextmodus können Sie eine komplexe Frage eingeben. Die Validierung erfolgt, wenn Sie die Abfrage ausführen.

Hinweis: Eine komplexe Abfrage ist jede andere Abfrage als ein grundlegender Filter aus <Metaschlüssel> <Operator> <Wert>, der die Operatoren (), ||, &&, length oder regex enthält.

Mithilfe von zwei Schaltflächen wechseln Sie zwischen den Modi und platzieren einen Cursor in der Abfrageleiste, sodass Sie direkt mit der Erstellung der Abfrage beginnen können. Wenn Sie bei der letzten Verwendung den Freitextmodus ausgewählt haben, ist diese Auswahl bei der nächsten Anmeldung noch aktiv.

  • Wenn Sie vom geleiteten Modus in den Freitextmodus wechseln, werden die im geleiteten Modus erstellten Filter auf eine Textabfrage im Feld „Freitext“ übertragen.
  • Wenn Sie vom Freitextmodus in den geleiteten Modus wechseln, wird die von Ihnen eingegebene Abfrage der Abfrageerstellung als einzelner, nicht bearbeitbarer Filter hinzugefügt.
  • Wenn Sie mit dem Erstellen einer Abfrage mit mehreren Filtern im geleiteten Mode beginnen, dann in den Freitextmodus und ohne Änderungen wieder zurück zum geleiteten Modus wechseln, behalten die Mehrfachfilter den gleichen Status.

In der folgenden Abbildung ist ein Beispiel für die Ansicht „Ereignisanalyse“ mit aktiver Abfrageerstellung im geleiteten Modus dargestellt.

example of a query in the Guided Mode query builder

In der folgenden Abbildung ist ein Beispiel für die Abfrageerstellung im Freitextmodus dargestellt.

example of the same query in the Free-Form query builder

Hinweis: Version 11.2 enthielt eine undokumentierte Beta-Funktion, den sogenannten NextGen-Modus, in der Abfrageerstellung der Ansicht „Ereignisanalyse“, der noch entwickelt und getestet wurde. Der NextGen-Modus wurde im Patch 11.2.0.1 deaktiviert. Wenn der NextGen-Modus angezeigt wird, sollten Sie ihn nicht verwenden. Verwenden Sie nur den geleiteten oder den Freitextmodus in der Abfrageerstellung, um konsistente und vorhersagbare Ergebnisse zu erzielen.
Next Gen Mode

Abfrageerstellung im geleiteten Modus

Der geleitete Modus ist der einfachste Weg, mit dem Analysten gültige Abfragen mit Funktionen für die Eingabe erstellen können. In der folgenden Abbildung ist die ursprüngliche Ansicht „Ereignisanalyse“ mit aktiver Abfrageerstellung im geleiteten Modus dargestellt.

Initial Event Analysis view with breadcrumb highlighted

Hinweis: Der geleitete Modus für die Abfrageerstellung unterstützt nur einfache Filter im Format <meta key><operator><meta value>. Wenn die Ansicht „Ereignisse“ oder die Ansicht „Navigation“ über einen Filter mit mehr als einem Operator, not, >, <, <=, >=, ||, &&, (), REGEX oder LENGTH verfügt, wird der Filter hinzugefügt. Eine Bearbeitung wird in der Ansicht „Ereignisanalyse“ allerdings nicht unterstützt. Gleiches gilt für einen Filter aus der Abfrageerstellung im Freitextmodus.

Wenn Sie Filter in der Abfrageerstellung im geleiteten Modus erstellen, wird die Brotkrümelnavigation mit jedem Filter in einem bearbeitbaren Feld aktualisiert. Wenn Sie die Abfrage übermitteln, werden alle Filter mit UND verknüpft, um Ergebnisse zu erzeugen. Die Abfrage wird erst übermittelt, wenn Sie auf „Ereignisse abfragen“ klicken. Filter werden von links nach rechts in der Reihenfolge aufgelistet, in der sie erstellt wurden. Jeder Filter ist ein einfacher Ausdruck des Formats <meta key> <operator> <optional value>. Wenn weitere Filter hinzugefügt werden und sie nicht in einer einzelnen Zeile angezeigt werden können, werden sie in eine andere Zeile umgebrochen und der Eingabebereich wird vertikal erweitert, sodass alle Filter ohne Bildlauf nach rechts sichtbar sind.

Beim Erstellen und Bearbeiten von Filtern werden Sie mit Vorschlägen für Autovervollständigung unterstützt, die nur gültige Metaschlüssel und Operatoren in der Drop-down-Liste anzeigen. Sie können Daten eingeben oder aus der Drop-down-Liste auswählen. In der Drop-down-Liste sind Vorgänge, deren Ausführung länger dauert, mit einem Stoppuhrsymbol markiert. Ungültige Filter sind durch einen roten Rahmen gekennzeichnet und wenn Sie den Mauszeiger über den Filter bewegen, wird eine Kurzinformation mit einer Erläuterung des Fehlers angezeigt.

Die Schaltfläche „Ereignisse abfragen“ befindet sich rechts neben der Brotkrümelnavigation und wird aktiv, wenn dies zum Senden einer Abfrage erforderlich ist. Wenn Sie auf „Ereignisse abfragen“ klicken oder nach der Filtererstellung die Eingabetaste drücken, wird eine Abfrage durchgeführt. Wenn Sie über eine Reihe von geladenen Ergebnissen verfügen und Sie den Service, den Zeitraum oder einen Filter ändern, wird die Schaltfläche „Ereignisse abfragen“ blau dargestellt, was darauf hinweist, dass die Daten in der Ansicht nun veraltet sind. In Version 11.2 und höher wird die Schaltfläche „Ereignisse abfragen“ auch nach Ablauf von mehr als einer Minute blau dargestellt, weil der Zeitbereich der ursprünglichen Abfrage nicht mehr die gleiche Ergebnismenge erzeugt.

Hinweis: Wenn Sie den Service ändern, verwendet ein Netzwerkaufruf von Daten für Rekonstruktionen oder von Daten im Bereich „Ereignisse“ (z. B. „Weitere laden“) die vorherigen Service-/Zeitbereichs-/Metadatenfilter. Der Netzwerkaufruf verwendet so lange diese vorherigen Abfrageparameter, bis Sie die neue Abfrage übermitteln.

Tastaturaktionen im geleiteten Modus

Im geleiteten Modus können Sie in der Abfrageerstellung Filter über die Tastatur eingeben, bearbeiten und löschen, ohne einen Zeiger verwenden zu müssen. Sie können den Zeiger zwar verwenden, doch Sie haben die Möglichkeit, die Finger auf der Tastatur zu lassen. In dieser Tabelle sind die verfügbaren Tastaturaktionen angegeben, wenn sich der Cursor im Bereich der Abfrageerstellung im geleiteten Modus der Brotkrümelnavigation befindet. Diese gelten nicht für die Serviceauswahl und den Zeitbereich.

                                                                   
AktionTastatureingabe
Senden Sie eine Abfrage.Drücken Sie die Eingabetaste, während die Abfrageerstellung markiert ist und keine Filter anstehen.
Wählen Sie den Filter, der sich unmittelbar links befindet, falls vorhanden.Drücken Sie die linke Pfeiltaste, ohne eine Auswahl in der Abfrageerstellung vorgenommen zu haben.
Wählen Sie den Filter, der sich unmittelbar rechts befindet, falls vorhanden.Drücken Sie die rechte Pfeiltaste, ohne eine Auswahl in der Abfrageerstellung vorgenommen zu haben.
Fügen Sie direkt links neben dem ausgewählten Filter einen neuen Filter ein.Drücken Sie die linke Pfeiltaste, wobei ein Filter ausgewählt ist.
Fügen Sie direkt rechts neben dem ausgewählten Filter einen neuen Filter ein.Drücken Sie die rechte Pfeiltaste, wobei ein Filter ausgewählt ist.
Fügen Sie direkt links neben dem ausgewählten Filter einen neuen Filter ein und öffnen Sie ihn zur Bearbeitung.Drücken Sie gleichzeitig die Umschalttaste und die linke Pfeiltaste, wobei ein Filter ausgewählt ist.
Fügen Sie direkt links neben dem ausgewählten Filter einen neuen Filter ein und öffnen Sie ihn zur Bearbeitung.Drücken Sie gleichzeitig die Umschalttaste und die rechte Pfeiltaste, wobei ein Filter ausgewählt ist.
Wählen Sie alle Filter rechts neben dem aktuellen Filter aus.Drücken Sie gleichzeitig die Umschalttaste und Nach-unten-Taste, wobei ein Filter ausgewählt ist.

Wählen Sie alle Filter links neben dem aktuellen Filter aus.

Drücken Sie gleichzeitig die Umschalttaste und Nach-oben-Taste, wobei ein Filter ausgewählt ist.

Bearbeiten eines ausgewählten Filters

Drücken Sie die ESC-Taste, wobei ein Filter ausgewählt ist.

Heben Sie die Auswahl aller Filter auf.Drücken Sie die ESC-Taste, wobei ein einzelner Filter ausgewählt ist.

Löschen Sie alle ausgewählten Filter.

Wählen Sie, wobei Filter ausgewählt sind, die Option Rechtsklick > Ausgewählte Filter löschen aus, drücken Sie Löschen, oder drücken Sie die Rücktaste.

Aktualisieren Sie die Abfrage nur mit den ausgewählten Filtern.Wählen Sie, wobei Filter ausgewählt sind, die Option Rechtsklick > Abfrage mit ausgewählten Filtern durchführen aus.

Öffnen Sie eine neue Registerkarte mit den ausgewählten Filtern.

Wählen Sie, wobei Filter ausgewählt sind, die Option Rechtsklick > Abfrage mit ausgewählten Filtern auf neuer Registerkarte durchführen aus.

Feedback im geleiteten Modus

Der geleitete Modus sorgt für visuelles Feedback während der Abfragekonstruktion. In dieser Tabelle wird das mögliche Feedback aufgeführt und beschrieben.

                            
FeedbackSymbolBeschreibung
Grüner Kreis Green circle inbetween filters Der Cursor wurde zwischen zwei vorhandenen Filtern platziert. Durch Klicken wird an dieser Stelle ein neuer Filter eingefügt.

Rote Umrisslinie eines Filters

Red outline example

Der Werttyp ist für den ausgewählten Metaschlüssel nicht gültig, z. B. ein Zeichenfolgewert für einen Metaschlüssel, für den eine Ganzzahl erwartet wird Eine Kurzinformation mit einer Erklärung zum Fehler.

Stoppuhr Stopwatch Icon Für die ausgewählte Metaschlüssel/Bediener-Kombination ist zusätzliche Zeit für die Bearbeitung erforderlich. Die Abfrage ist zwar noch ausführbar, es sollte aber ein effizienterer Metaschlüssel oder Operator verwendet werden.

Hinzufügen eines Filters im geleiteten Modus

So filtern Sie die Daten, die in der Ansicht „Ereignisanalyse“ im geleiteten Modus angezeigt werden:

  1. Gehen Sie zur Ereignisanalyse und wählen Sie unter der Abfrageerstellung Geleiteter Modus aus.
    Dies ist ein Beispiel für eine leere Abfrageerstellung im geleiteten Modus vor der Eingabe eines Filters.
    Guided Mode, empty query builder field
  2. Wenn Sie einen Filter einfügen möchten, klicken Sie in das leere Feld für die Abfrageerstellung oder vor oder nach einem vorhandenen Filter.
    Wenn sich die Einfügemarke zwischen zwei Filtern befindet, ist der Einfügepunkt durch einen grünen Punkt gekennzeichnet. Wenn sich die Einfügemarke am Ende der vorhandenen Brotkrümelnavigation befindet, wird das Filtereingabefeld geöffnet und der Cursor blinkt am Eingabepunkt. In einem Drop-down-Menü sind die verfügbaren Metaschlüssel für den ausgewählten Service in alphabetischer Reihenfolge aufgeführt. Die verfügbaren Metaschlüssel werden von dem untersuchten Service übergeben und Metaschlüssel, deren Verarbeitung mehr Zeit in Anspruch nimmt, sind durch ein Stoppuhrsymbol gekennzeichnet.
    the meta key drop-down list in the Guided Mode query builder
  3. Führen Sie zum Auswählen eines Metaschlüssels einen der folgenden Schritte aus:

    1. Wenn das Drop-down-Menü nur eine Option enthält, drücken Sie die Eingabetaste.
    2. Wenn das Drop-down-Menü zwei oder mehr Optionen enthält, klicken Sie auf den Metaschlüssel oder verwenden Sie den Pfeil nach oben/nach unten und drücken Sie die Eingabetaste.
    3. Geben Sie den Metaschlüssel ein. Während Sie den Metaschlüssel eingeben, wird die Liste weiter aktualisiert. Zur Auswahl des Metaschlüssels drücken Sie die Eingabetaste.
    4. Wenn Sie den Metaschlüssel bearbeiten oder löschen wollen, drücken Sie die Rückschritttaste oder Löschen.
      Während Sie ein Zeichen löschen, wird die Drop-down-Liste mit den Metaschlüsseln so gefiltert, dass Metaschlüssel enthalten sind, die mit diesem Zeichen beginnen. Zur Auswahl eines Metaschlüssels drücken Sie die Eingabetaste.
      Der Metaschlüssel wird der Abfrageerstellung hinzugefügt und eine Liste der gültigen Operatoren für den ausgewählten Metaschlüssel wird angezeigt. Vorgänge, deren Verarbeitung mehr Zeit in Anspruch nimmt, sind durch ein Stoppuhrsymbol gekennzeichnet.
      example of operators drop-down menu
  4. Führen Sie zum Auswählen eines Operators einen der folgenden Schritte aus:

    1. Wenn das Drop-down-Menü nur eine Option enthält, drücken Sie die Eingabetaste.
    2. Wenn das Drop-down-Menü zwei oder mehr Optionen enthält, klicken Sie auf den Operator oder verwenden Sie den Pfeil nach oben/nach unten und drücken SieEingabetaste.
    3. Geben Sie den Operator ein und drücken Sie die Eingabetaste.
      Die Drop-Down-Liste wird geschlossen und Sie können einen Wert hinzufügen, wenn der Operator einen Wert akzeptiert.
  5. (Optional) Geben Sie einen Wert ein und drücken die Eingabetaste.

  6. Um den Filter zu erstellen, drücken Sie die Eingabetaste. Wenn Sie auf eine beliebige Stelle außerhalb des Felds klicken, bevor Sie die Eingabetaste drücken, wird der Filter nicht erstellt.
    Der neue Filter wird eingefügt und der Cursor wird nach dem letzten Filter neu fokussiert. Die Drop-down-Liste mit den Metaschlüsseln wird angezeigt. Wenn der Filter einen Fehler enthält, wird er rot umrandet. Sie können den Mauszeiger über den Filter bewegen, um eine Kurzinformation zum Fehler anzuzeigen. In dieser Abbildung ist eine Abfrage dargestellt, die ohne Fehler erstellt wird.
    the completed filter with a value
  7. Korrigieren Sie alle Filter, die Fehler aufweisen.
  8. Wenn Sie bereit sind, die Abfrage in der Brotkrümelnavigation auszuführen, klicken Sie auf Ereignisse abfragen.
  9. Die Ereignisliste wird aktualisiert und zeigt die Abfrage an.

Bearbeiten eines Filters im geleiteten Modus

Mit einer Abfrage in der Abfrageerstellung im geleiteten Modus können Sie einen Filter bearbeiten. So bearbeiten Sie einen Filter:

  1. Zum Bearbeiten eines Filters doppelklicken Sie darauf oder klicken Sie auf den Filter und drücken Sie die Eingabetaste.
  2. Bearbeiten Sie den Filter. Drücken Sie nach dem Bearbeiten die Eingabetaste, um den Filter zu aktualisieren.
  3. Wenn Sie die Abfrage erneut ausführen möchten, klicken Sie auf die Schaltfläche Abfrage.
    Die Ereignisliste wird aktualisiert und zeigt den aktualisierten Filter an.

Abfrage mit ausgewählten Filtern im geleiteten Modus

Mit einem oder mehreren Filtern in der Abfrageerstellung im geleiteten Modus können Sie dieselbe Abfrage neu fokussieren, sodass nur ausgewählte Filter eingeschlossen werden. Die Ergebnisse werden in der aktuellen Browser-Registerkarte oder einer neuen Browser-Registerkarte angezeigt. So aktualisieren Sie die Abfrage nur mit ausgewählten Filtern:

  1. Beginnen Sie mit einer Abfrage im geleiteten Modus mit einem oder mehreren Filtern, z. B. einer Abfrage mit drei Filtern: risk.info = exists, direction ="lateral" und threat.category exists.
  2. Zum Öffnen einer neuen Registerkarte mit den ausgewählten Filtern wählen Sie direction = "lateral" aus, klicken mit der rechten Maustaste auf den Filter und wählen im Drop-down-Menü die Option Abfrage mit ausgewählten Filtern auf neuer Registerkarte durchführen aus.
    the Query with selected filters in a new tab option selected
    Eine neue Registerkarte mit den Ergebnissen für den ausgewählten Filter wird geöffnet und die ursprüngliche Abfrage bleibt unverändert auf der vorherigen Registerkarte.
    results in a new tab
  3. Zum Abfragen der ausgewählten Filter auf der gleichen Registerkarte klicken Sie auf direction = "lateral" und threat.category exists. Klicken Sie dann mit der rechten Maustaste und wählen Sie im Drop-down-Menü die Option Abfrage mit ausgewählten Filtern durchführen aus.
    the Query with selected filters option selected in the drop-down menu
    Eine Abfrage nur mit den ausgewählten Filtern wird eingereicht und alle verbleibenden Filter werden entfernt.

Löschen eines Filters im geleiteten Modus

So löschen Sie einen Filter:

  1. Klicken Sie in einem Filter auf X, klicken Sie auf den Filter, um ihn auszuwählen, und drücken Sie Löschen, oder klicken Sie mit der rechten Maustaste auf einen oder mehrere Filter und wählen Sie im Drop-down-Menü Ausgewählte Filter löschen aus.
  2. Wenn Sie die Abfrage erneut ausführen möchten, klicken Sie auf die Schaltfläche Abfrage.
    Der ausgewählte Filter wird gelöscht und die Ereignisliste wird aktualisiert.

Freitextabfrageerstellung

Freitextabfragen sind am sinnvollsten, wenn Sie eine komplexe Abfrage schnell eingeben möchten und die Metaschlüssel, gültigen Operatoren und gültige Syntax für die Eingabe von Werten kennen. In der folgenden Abbildung ist die ursprüngliche Ansicht „Ereignisanalyse“ mit dem leeren Feld für die Freitextabfrageerstellung dargestellt.

Free-Form query builder, with the field empty

Der blinkende Cursor zeigt an, dass sie eine Abfrage eingeben können. Hier können Sie freien Text eingeben. Wenn weitere Ausdrücke hinzugefügt, aber nicht in einer einzigen Zeile angezeigt werden können, werden sie in eine andere Zeile umgebrochen und der Eingabebereich wird vertikal erweitert, sodass alle Filter ohne Bildlauf nach rechts sichtbar sind.

Dies sind einige Beispiele für Abfragen, die Sie im Freitextmodus eingeben können:

Zum Finden von Ereignissen mit einem 8- bis 11-stelligen Namen, wie z. B. atreeman-72:
user.all length 8-11 && (user.all regex '^a[a-z]{2}ee[a-z]{3}-[0-9]{2}')

Zum Finden von Ereignissen, die entweder HTTP-Netzwerkereignisse sind oder denen die aix- oder ciscoasa-Protokolle zugewiesen sind:
service=80 || (device.type = 'aix','ciscoasa')

Zum Finden aller ausgehenden Ereignisse, die nicht nach Kanada oder in die Vereinigten Staaten gehen:
direction = 'outbound' AND not(country.dst = 'united states' || country.dst = 'canada')

Wenn Sie eine Abfrage im geleiteten Modus eingereicht haben, wird diese in Text umgewandelt, sobald Sie auf den Freitextmodus klicken. Dies ist ein Beispiel für eine Abfrage, die im geleiteten Mode eingereicht wurde.
query from Guided Mode

Hier können Sie freien Text eingeben. Wenn weitere Ausdrücke hinzugefügt, aber nicht in einer einzigen Zeile angezeigt werden können, werden sie in eine andere Zeile umgebrochen und der Eingabebereich wird vertikal erweitert, sodass alle Filter ohne Bildlauf nach rechts sichtbar sind.

Die Schaltfläche „Ereignisse abfragen“ befindet sich rechts neben der Brotkrümelnavigation und wird in Blau hervorgehoben, wenn dies zur Eingabe einer Abfrage erforderlich ist. Die Abfrage wird angewendet, wenn Sie auf „Ereignisse abfragen“ klicken. Zu diesem Zeitpunkt wird die Abfrage validiert, sodass Syntax- und Logikfehler angezeigt werden.

a query that has been submitted

Vorgänge, die mehr Bearbeitungszeit erfordern, werden nicht hervorgehoben, da sie sich im geleiteten Mode befinden. Aber in dieser Tabelle ist eine Zusammenfassung der leistungsaufwändigen Vorgänge aufgeführt.

                                                    
IndexmethodeNichttextwertTextwertRegelmäßige VorgängeLeistungsaufwändige Vorgänge
Nach Schlüssel  exists, !existseq, !eq
Nach Schlüssel  exists, !existseq, !eq, begins, ends, contains
Nach Wert  exists, !exists, eq, !eqKeine aufwändigen Operatoren
Nach Wert  exists, !exists, eq, !eq, begins

ends, contains

Keine AngabeSonderfall für sessionid exist, !exits, eq, !eq

Keine aufwändigen Operatoren

You are here
Table of Contents > Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ > Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes