Erstellen von erweiterten Abfragen

Mit der erweiterten Abfragefunktion können Sie benutzerdefinierte Abfragen erstellen, um Ihre Bedrohungserkennungsaktivitäten zu verbessern. Erweiterte Abfragen bieten einen umfassenden Einblick in Ihre Aurora Focus-Umgebung, umfangreiche Abfrageoptionen und optimierte Workflows, mit denen Sie verwandte Suchvorgänge kombinieren und so neue Erkenntnisse gewinnen können. Erweiterte Abfragen werden für Geräte mit der Aurora Focus-Agent-Version 3.0 oder höher unterstützt.

Erweiterte Abfragen basieren auf der Verwendung der EQL-Syntax. Für die Erstellung von Ereignisabfragen wird EQL verwendet. Die Ergebnisse liefern Informationen über die an diesen Ereignissen beteiligten Artefakte. Die erweiterte Abfrage-UI enthält Syntaxinformationen, die Sie beim Erstellen von EQL-Abfragen unterstützen.

Bitte werfen Sie einen Blick auf Unterstützte EQL-Syntax für erweiterte Abfragen und Beispiel: Aurora Focus-EQL-Abfragen.
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf CylanceOPTICS > Erweiterte Abfrage.
  2. Führen Sie einen der folgenden Schritte aus:

    Aufgabe

    Schritte

    Erstellen einer neuen erweiterten Abfrage
    Wenn Sie eine vorhandene Abfragevorlage verwenden möchten, um eine neue Abfrage zu erstellen, klicken Sie auf Vorlagenliste anzeigen, klicken auf eine Vorlage und überspringen dann unten den ersten Schritt.
    1. Geben Sie in das Abfragefeld die EQL-Syntax für die Abfrage ein oder fügen Sie sie ein. Während der Eingabe werden Syntaxoptionen und Validierungsmeldungen angezeigt, um Ihnen bei der Erstellung Ihrer Abfrage zu helfen.

      Wenn Sie die aktuelle Abfrage als Vorlage speichern möchten, klicken Sie auf Als Vorlage speichern. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie aus, ob die Vorlage privat oder für alle Administratoren verfügbar sein soll. Klicken Sie auf Speichern. Sie können Abfragen in der Vorlagenliste anheften, bearbeiten und löschen.

    2. Um den Umfang der Abfrage festzulegen, klicken Sie unter Geräte suchen auf Nach Zone oder Nach Gerät (ein Symbol neben jedem Gerät zeigt an, ob das Gerät online ist). Wählen Sie eine oder mehrere Zonen oder Geräte aus und klicken Sie dann auf Speichern. Wenn Sie den Bereich nicht festlegen, gilt die Abfrage für alle Zonen und Geräte.
    3. Um einen Datums- und Uhrzeitbereich für die Abfrage festzulegen, klicken Sie auf Symbol „Datumsbereich“ und konfigurieren den Bereich. Klicken Sie auf Anwenden. Wenn Sie keinen Bereich festlegen, wird die Abfrage auf alle verfügbaren Daten angewendet.
    4. Führen Sie einen der folgenden Schritte aus:
      • Wenn Sie die Abfrage ausführen möchten, klicken Sie auf Abfrage ausführen.
      • Wenn Sie die Abfrage so planen möchten, dass sie zu einem bestimmten Datum und zu einer bestimmten Uhrzeit oder in regelmäßigen Intervallen ausgeführt wird, klicken Sie auf Abfrage planen. Geben Sie einen Namen und eine Beschreibung ein, wählen Sie aus, ob die Abfrage privat oder für alle Benutzer sichtbar sein soll, und legen Sie Datum, Uhrzeit und optional Wiederholungseinstellungen fest. Wenn Sie die Abfrage auf die Daten beschränken möchten, die seit der letzten Ausführung erfasst wurden, aktivieren Sie das Kontrollkästchen Nur neue Daten abfragen. Klicken Sie auf Abfrage planen.

        Sie können geplante Abfragen auf der Registerkarte Geplante Abfragen anzeigen und bearbeiten sowie die Ergebnisse anzeigen und exportieren. Es können maximal 25 Abfragen aktiv laufen oder für die Ausführung geplant sein. Angehaltene Abfragen oder einmalig durchgeführte Abfragen, die abgeschlossen wurden, werden nicht auf diesen Grenzwert angerechnet.

    Wenn Sie die Abfrageergebnisse speichern möchten, um sie später auf der Registerkarte Abfrage-Snapshots zu betrachten, klicken Sie im Bereich Ergebnisse auf Symbol „Speichern“. Geben Sie einen Namen und eine Beschreibung ein und wählen Sie aus, ob die Ergebnisse privat oder für alle Benutzer sichtbar sein sollen.

    Anzeigen eines Abfrage-Snapshots

    Klicken Sie auf der Registerkarte Abfrage-Snapshots auf ein Abfrage-Snapshot.

    Beachten Sie, dass dadurch die ursprünglichen Ergebnisse der Abfrage beim Speichern angezeigt werden und es sich nicht um eine neue Abfrage handelt.
  3. Wenn Sie die Abfrageergebnisse filtern möchten, führen Sie einen der folgenden Schritte aus:
    • Um Abfrageergebnisse nach Datum und Zeitstempel zu filtern, klicken Sie auf einen oder mehrere Balken des Histogramms, um nach diesem Datums- und Uhrzeitbereich zu filtern. Klicken Sie auf einen beliebigen Balken im ausgewählten Bereich, um den Datums- und Zeitfilter zu entfernen.
    • Um Abfrageergebnisse nach einer Spalte zu filtern, klicken Sie auf Filtersymbol für diese Spalte (z. B. Gerät) und wählen Sie die Filterkriterien aus.
    • Um Abfrageergebnisse nach einem von Ihnen angegebenen Wert zu filtern, klicken Sie über den Abfrageergebnissen auf Das Suchsymbol und geben Sie den Wert in das Suchfeld ein (z. B. einen bestimmten Zeitstempel, einen Ereignisdetailwert usw.).
  4. Erweitern Sie ein Ergebnis, um Details anzuzeigen. Klicken Sie auf Symbol „Ergebnisdetails“, um ein Fenster mit Ereignisdetails und Informationen zu zugehörigen Warnmeldungen zu öffnen (möglicherweise müssen Sie im Ergebnisfenster nach rechts scrollen). Um die Abfrageergebnisse zu filtern, um die Übereinstimmungen für eine oder mehrere bestimmte Facetten anzuzeigen, klicken Sie auf Filtersymbol für diese Facetten. Klicken Sie erneut auf das Symbol, um den Filter zu entfernen.
  5. Erweitern Sie in den Abfrageergebnissen das Symbol „Optionen“-Menü, um die verfügbaren Aktionen für jedes Ergebnis anzuzeigen. Je nach Ergebnistyp kann dies Folgendes umfassen:
    • Anfordern und Anzeigen von Fokusdaten.
    • Globale Quarantäne einer Datei. Die Datei wird unter Einstellungen > Globale Liste > Globale Quarantäne, unter Schutz > Bedrohungen und im Abschnitt Bedrohungen der Gerätedetails angezeigt.
    • Eine Datei anfordern und herunterladen. Wenn Pfadinformationen für Dateien verfügbar sind, die mit anderen Artefakttypen verknüpft sind, können Sie diese Dateien auch herunterladen. Die Datei ist komprimiert und kennwortgeschützt, um sicherzustellen, dass sie nicht versehentlich ausgeführt wird. Das Kennwort lautet „infected“. Die maximale Größe für das Abrufen von Dateien beträgt 50 MB. Artefakte und Dateien werden von Aurora Focus für 30 Tage aufbewahrt.
  6. Wenn Sie ein Ergebnis so anheften möchten, dass es eine visuelle Markierung hat, wenn es in nachfolgenden Abfragen angezeigt wird, klicken Sie auf Symbol „Anheften“.
  • Wenn Sie die Abfrageergebnisse in eine CSV-Datei exportieren möchten, klicken Sie auf Das Symbol „Exportieren“. Geben Sie einen Namen und eine Beschreibung ein, geben Sie an, ob die exportierten Ergebnisse privat oder öffentlich sein sollen und klicken Sie auf Exportieren. Sie können die Datei von der Registerkarte Exportierte Ergebnisse herunterladen, wenn sie bereitsteht.
  • Um eine neue Abfrage hinzuzufügen, klicken Sie auf Hinzufügen-Symbol. neben der Registerkarte für die aktuelle Abfrage.
  • Um eine vorhandene Abfrage zu kopieren, bewegen Sie den Mauszeiger über die Registerkarte und klicken Sie auf Symbol „Klonen“.