Anzeigen von Fokusdaten

Fokusdaten ermöglichen Ihnen die Visualisierung und Analyse der Ereigniskette und der damit verbundenen Artefakte und Facetten dieser Ereignisse, die zum Auftreten von Malware oder einer anderen Sicherheitsbedrohung auf einem Gerät geführt haben. Fokusdaten werden 30 Tage lang aufbewahrt.

Bei Geräten mit Aurora Focus-Agent 2.x und früher kann die Konsole Fokusdaten nur von Geräten abrufen, die online sind. Bei Geräten mit Agent 3.0 und höher müssen die Geräte nicht online sein, da die Konsole die neuesten in der Aurora Focus -Cloud-Datenbank verfügbaren Daten abrufen kann.

Wenn Sie das automatische Hochladen von Fokusdaten für Geräte auf die Verwaltungskonsole aktivieren möchten, aktivieren Sie diese Optionen in der Geräterichtlinie. Wenn Sie diese Option nicht auswählen, müssen Sie die Fokusdaten über die Konsole manuell anfordern.
Führen Sie eine der folgenden Aktionen aus:

Aufgabe

Schritte

Anzeigen von Fokusdaten aus Gerätedetails
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Assets > Geräte.
  2. Klicken Sie auf ein Gerät und lesen Sie die im Abschnitt Bedrohungen und Aktivitäten angezeigten Informationen.
  3. Wenn Sie das automatische Hochladen von Fokusdaten für eine Bedrohung oder ein Ereignis nicht aktiviert haben, klicken Sie auf Daten anfordern.
  4. Klicken Sie auf Daten anzeigen.

Anzeigen von Fokusdaten aus einer InstaQuery

Informationen zum Erstellen einer neuen InstaQuery finden Sie unter Erstellen einer InstaQuery.

  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf CylanceOPTICS > InstaQuery > Vorherige Abfragen.
  2. Klicken Sie für eine InstaQuery auf Ergebnisse anzeigen.
  3. Klicken Sie auf Aktionen > Fokusdaten anfordern, um ein Ergebnis zu erhalten.
  4. Klicken Sie auf Fokusdaten anzeigen.

Anzeigen der Fokusdaten aus einer Masterliste
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf CylanceOPTICS > Fokusdaten.

    Die Liste enthält die Fokusdaten, die zuvor von einem Administrator angefordert oder automatisch auf die Konsole hochgeladen worden sind.

  2. Klicken Sie für ein Artefakt oder Ereignis auf Fokus anzeigen.
  • Einige Artefakte oder Facetten in den Fokusdaten enthalten möglicherweise die Option InstaQuery erstellen zum Abrufen weiterer Informationen. Dies wird als Pivot-Abfrage bezeichnet. Die Artefakt- oder Facetteneigenschaften sind vorausgefüllt. Sie müssen nur die entsprechenden Zonen angeben. Die Ergebnisse der Pivot-Abfrage sind dann mit den zugehörigen Fokusdaten verfügbar.
  • Wenn Sie Fokusdaten in eine CSV-Datei exportieren möchten, klicken Sie auf Symbol „Tabellenanzeige“ und anschließend auf Symbol „Exportieren“.