Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Übersicht über die Registerkarte "Protokollaktivität"

Ein Ereignis ist ein Datensatz aus einer Protokollquelle, z. B. einer Firewall oder einem Router-Gerät, der eine Aktion in einem Netzwerk oder Host beschreibt.

Die Registerkarte "Aktivität protokollieren " gibt an, welche Ereignisse mit Verstößen verknüpft sind.

Sie müssen über die Berechtigung zum Anzeigen der Registerkarte "Protokollaktivität " verfügen.

Symbolleiste der Registerkarte "Protokollaktivität"

Sie können über die Symbolleiste "Protokollaktivität" auf mehrere Optionen zugreifen

Über die Symbolleiste können Sie auf die folgenden Optionen zugreifen:

Tabelle 1: Symbolleistenoptionen für Protokollaktivität

Option

Beschreibung

Suche

Klicken Sie auf Suchen , um eine erweiterte Suche nach Ereignissen durchzuführen. Zu den Optionen gehören:

  • Neue Suche Wählen Sie diese Option aus, um eine neue Ereignissuche zu erstellen.

  • Suche bearbeiten Wählen Sie diese Option aus, um eine Ereignissuche auszuwählen und zu bearbeiten.

  • Suchergebnisse verwalten Wählen Sie diese Option aus, um Suchergebnisse anzuzeigen und zu verwalten.

Schnellsuche

In diesem Listenfeld können Sie zuvor gespeicherte Suchvorgänge ausführen. Optionen werden im Listenfeld Schnellsuche nur angezeigt, wenn Sie Suchkriterien gespeichert haben, die die Option In meine Schnellsuche einschließen angeben.

Filter hinzufügen

Klicken Sie auf Filter hinzufügen , um den aktuellen Suchergebnissen einen Filter hinzuzufügen.

Kriterien speichern

Klicken Sie auf Kriterien speichern , um die aktuellen Suchkriterien zu speichern.

Ergebnisse speichern

Klicken Sie auf Ergebnisse speichern , um die aktuellen Suchergebnisse zu speichern. Diese Option wird erst angezeigt, nachdem eine Suche abgeschlossen ist. Diese Option ist im Streaming-Modus deaktiviert.

Abbrechen

Klicken Sie auf Abbrechen , um eine laufende Suche abzubrechen. Diese Option ist im Streaming-Modus deaktiviert.

Falsch positiv

Klicken Sie auf "Falsch positiv ", um das Fenster "Falsch positive Optimierung " zu öffnen, in dem Sie Ereignisse, die als falsch positive Ergebnisse bekannt sind, vom Erstellen von Verstößen ausschließen können.

Diese Option ist im Streaming-Modus deaktiviert. Weitere Informationen zum Optimieren von Fehlalarmen finden Sie unter Optimieren von Fehlalarmen.

Regeln

Die Option "Regeln" ist nur sichtbar, wenn Sie über die Berechtigung zum Anzeigen von Regeln verfügen.

Klicken Sie auf Regeln , um benutzerdefinierte Ereignisregeln zu konfigurieren. Zu den Optionen gehören:

  • Regeln Wählen Sie diese Option aus, um eine Regel anzuzeigen oder zu erstellen. Wenn Sie nur über die Berechtigung zum Anzeigen von Regeln verfügen, wird die Übersichtsseite des Regel-Assistenten angezeigt. Wenn Sie über die Berechtigung zum Verwalten benutzerdefinierter Regeln verfügen, wird der Regel-Assistent angezeigt, und Sie können die Regel bearbeiten.

  • Schwellenwertregel hinzufügen Wählen Sie diese Option aus, um eine Schwellenwertregel zu erstellen. Eine Schwellenwertregel testet den Ereignisdatenverkehr auf Aktivitäten, die einen konfigurierten Schwellenwert überschreiten. Schwellenwerte können auf beliebigen Daten basieren, die JSA erfasst werden. Wenn Sie z. B. eine Schwellenwertregel erstellen, die angibt, dass sich zwischen 8 und 17 Uhr nicht mehr als 220 Clients am Server anmelden können, generieren die Regeln eine Warnung, wenn der 221. Client versucht, sich anzumelden.

    Wenn Sie die Option "Schwellenwertregel hinzufügen " auswählen, wird der Regel-Assistent mit den entsprechenden Optionen zum Erstellen einer Schwellenwertregel angezeigt.

Regeln (Fortsetzung)

  • Verhaltensregel hinzufügen Wählen Sie diese Option aus, um eine Verhaltensregel zu erstellen. Eine Verhaltensregel testet den Ereignisdatenverkehr auf ungewöhnliche Aktivitäten, z. B. das Vorhandensein von neuem oder unbekanntem Datenverkehr, d. h. Datenverkehr, der plötzlich beendet wird, oder eine prozentuale Änderung der Zeitspanne, in der ein Objekt aktiv ist. Sie können beispielsweise eine Verhaltensregel erstellen, um das durchschnittliche Datenverkehrsvolumen der letzten 5 Minuten mit dem durchschnittlichen Datenverkehrsvolumen der letzten Stunde zu vergleichen. Wenn es eine Änderung von mehr als 40 % gibt, generiert die Regel eine Antwort.

    Wenn Sie die Option Verhaltensregel hinzufügen auswählen, wird der Regel-Assistent mit den entsprechenden Optionen zum Erstellen einer Verhaltensregel angezeigt.

Aktionen

Klicken Sie auf Aktionen , um die folgenden Aktionen auszuführen:

  • Alles anzeigen Wählen Sie diese Option aus, um alle Filter für Suchkriterien zu entfernen und alle ungefilterten Ereignisse anzuzeigen.

  • Drucken Wählen Sie diese Option aus, um die auf der Seite angezeigten Ereignisse zu drucken.

  • Exportieren in XML > Sichtbare Spalten Wählen Sie diese Option aus, um nur die Spalten zu exportieren, die auf der Registerkarte Protokollaktivität sichtbar sind. Dies ist die empfohlene Option. Siehe Exportieren von Ereignissen.

  • Nach XML exportieren > Vollständiger Export (alle Spalten) - Wählen Sie diese Option aus, um alle Ereignisparameter zu exportieren. Ein vollständiger Export kann einen längeren Zeitraum in Anspruch nehmen. Siehe Exportieren von Ereignissen.

  • In CSV exportieren >Sichtbare Spalten Wählen Sie diese Option aus, um nur die Spalten zu exportieren, die auf der Registerkarte Protokollaktivität sichtbar sind. Dies ist die empfohlene Option. Siehe Exportieren von Ereignissen.

  • In CSV exportieren >Vollständiger Export (alle Spalten) - Wählen Sie diese Option aus, um alle Ereignisparameter zu exportieren. Ein vollständiger Export kann einen längeren Zeitraum in Anspruch nehmen. Siehe Exportieren von Ereignissen.

  • Löschen Wählen Sie diese Option aus, um ein Suchergebnis zu löschen. Weitere Informationen finden Sie unter Verwalten von Suchergebnissen

  • Benachrichtigen Wählen Sie diese Option aus, um anzugeben, dass Sie nach Abschluss der ausgewählten Suchvorgänge eine Benachrichtigung per E-Mail erhalten möchten. Diese Option ist nur für laufende Suchvorgänge aktiviert.

Hinweis:

Die Optionen "Drucken", "In XML exportieren" und "In CSV exportieren " sind im Streaming-Modus und bei der Anzeige von Teilsuchergebnissen deaktiviert.

Symbolleiste "Suche"

  • Erweiterte Suche: Wählen Sie im Listenfeld die Option Erweiterte Suche aus, um eine AQL-Suchzeichenfolge ( Ariel Query Language) einzugeben, um die Felder anzugeben, die zurückgegeben werden sollen.

  • Schnellfilter: Wählen Sie Schnellfilter aus dem Listenfeld aus, um Nutzlasten mithilfe einfacher Wörter oder Ausdrücke zu suchen.

Ansehen

Die Standardansicht auf der Registerkarte "Protokollaktivität " ist ein Stream von Echtzeitereignissen. Die Liste "Ansicht " enthält Optionen, mit denen Sie auch Ereignisse aus bestimmten Zeiträumen anzeigen können. Nachdem Sie einen angegebenen Zeitraum aus der Liste "Ansicht " ausgewählt haben, können Sie den angezeigten Zeitraum ändern, indem Sie die Datums- und Uhrzeitwerte in den Feldern "Startzeit" und "Endzeit " ändern.

Klicken Sie mit der rechten Maustaste auf Menüoptionen

Auf der Registerkarte Aktivität protokollieren können Sie mit der rechten Maustaste auf ein Ereignis klicken, um auf weitere Informationen zum Ereignisfilter zuzugreifen.

Folgende Optionen stehen im Kontextmenü:

Tabelle 2: Klicken Sie mit der rechten Maustaste auf Menüoptionen

Option

Beschreibung

Filtern auf

Wählen Sie diese Option aus, um je nach ausgewähltem Parameter im Ereignis nach dem ausgewählten Ereignis zu filtern.

Falsch positiv

Wählen Sie diese Option aus, um das Fenster "Falsch positiv " zu öffnen, in dem Sie Ereignisse, die als falsch positive Ergebnisse bekannt sind, von der Erstellung von Straftaten ausschließen können. Diese Option ist im Streaming-Modus deaktiviert. Weitere Informationen finden Sie unter Optimieren von Fehlalarmen.

Weitere Optionen:

Wählen Sie diese Option aus, um eine IP-Adresse oder einen Benutzernamen zu untersuchen. Weitere Informationen zum Untersuchen einer IP-Adresse finden Sie unter Untersuchen von IP-Adressen.

Hinweis:

Diese Option wird im Streaming-Modus nicht angezeigt.

Schnellfilter

Filtern Sie Elemente, die mit der Auswahl übereinstimmen oder nicht übereinstimmen.

Statusleiste

Beim Streamen von Ereignissen wird in der Statusleiste die durchschnittliche Anzahl der Ergebnisse angezeigt, die pro Sekunde empfangen werden.

Dies ist die Anzahl der Ergebnisse, die die Konsole erfolgreich von den Ereignisprozessoren empfangen hat. Wenn diese Zahl größer als 40 Ergebnisse pro Sekunde ist, werden nur 40 Ergebnisse angezeigt. Der Rest wird im Ergebnispuffer akkumuliert. Um weitere Statusinformationen anzuzeigen, bewegen Sie den Mauszeiger über die Statusleiste.

Wenn Ereignisse nicht gestreamt werden, werden in der Statusleiste die Anzahl der Suchergebnisse angezeigt, die derzeit auf der Registerkarte angezeigt werden, sowie die Zeit, die für die Verarbeitung der Suchergebnisse erforderlich ist.

Zugehörige Dokumentation