Über das Tool Erweiterte SQL-Abfrage

Gilt für: WatchGuard Advanced EPDR

Mit dem Tool für die erweiterte SQL-Abfrage können Sie spezifische Ereignisse für einen ausgewählten Computer oder einen anderen Computer in Ihrem Netzwerk finden. Sie können das Tool Erweiterte SQL-Abfrage nutzen, um die in den letzten sieben Tagen erfasste Telemetrie zu überprüfen.

Um das Tool Erweiterte SQL-Abfrage zu verwenden, müssen Sie wissen, wie man strukturierte Abfragesprache (Structured Query Language; SQL) nutzt, und das von Endpoint Security verwendete Datenbankschema verstehen.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Computer hinzufügen, suchen und löschen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So öffnen Sie das Tool Erweiterte SQL-Abfrage von der Endpoint Security-Verwaltungsoberfläche aus:

  1. Um Computerdetails zu öffnen, wählen Sie Computer und wählen dann einen Computer aus.
  2. Klicken Sie auf der Registerkarte Untersuchung auf Screenshot of the add icon.

    3. Screenshot of Advanced SQL Query tool menu

  3. Wählen Sie Erweiterte SQL-Abfrage.
    Das Tool Erweiterte SQL-Abfrage wird geöffnet.

    4. Screenshot of Advance SQL Query home page

Das Tool Erweiterte SQL-Abfrage ist in die folgenden Abschnitte unterteilt:

  • Abfragen — Erlaubt es Ihnen, Tabellen und das Datenmodell anzuzeigen und auszuwählen.
  • Erweiterte SQL-Abfrage — Erlaubt es Ihnen, Abfragen zu erstellen.
  • Ergebnisse — Zeigt die Ergebnisse der Abfragen.

Abschnitt Abfragen

Der Abschnitt Abfragen des Tools zeigt das Datenmodell, das verwendet wurde, um die durch die Überwachung der Prozesse gesammelten Informationen zu organisieren.

Sie können die in diesem Abschnitt gezeigten Tabellen und Felder nutzen, um Abfragen zu erstellen. Klicken Sie auf ein Feld, um es an der durch den Cursor angezeigten Stelle des Abschnitts Erweiterte SQL-Abfrage einzufügen.

Screenshot of the Queries section on the Advanced SQL Queries tool

Abschnitt Erweiterte SQL-Abfrage

Der Abschnitt Erweiterte SQL-Abfrage beinhaltet einen Editor, mit dem Sie erweiterte SQL-Abfragen erstellen und ausführen können.

So führen Sie erweiterte SQL-Abfragen aus:

  1. Geben Sie im Abfrage-Editor die SQL-Abfrage an, die Sie ausführen möchten.

  2. Um die Abfrage auszuführen, klicken Sie auf .

Informationen zur SQL-Syntax finden Sie unter Erweiterte SQL-Abfrage - Syntax.

Abschnitt Ergebnisse

Der Abschnitt Ergebnisse zeigt die Ergebnisse Ihrer SQL-Abfrage in Tabellenformat.

Screenshot of the results of Advanced SQL query

Im Abschnitt Ergebnisse können Sie die folgenden Aktionen ausführen:

Ereignisdetails anzeigen

Im Abschnitt Ergebnisse können Sie die Telemetrie für einen Computer in der Ergebnistabelle anzeigen.

So zeigen Sie Ereignisdetails für ein Element der Liste an:

  1. Klicken Sie auf und wählen Sie dann Computer untersuchen.
    Das Dialogfeld Computer untersuchen wird geöffnet.

    2. Screenshot of the investigate computer setting in result section

  2. Aktivieren Sie das Kontrollkästchen der Kennung, die Sie verwenden möchten, um den Computer zu identifizieren, und geben Sie dann den erforderlichen Wert in das Textfeld ein:
    • MUID
    • MD5
    • MUID + MD5
    • Computername
  3. Klicken Sie auf OK.
    Eine neue Seite mit Ereignisdetails für den angegebenen Computer wird geöffnet.

Zeilengruppen festlegen

Im Abschnitt Ergebnisse können Sie Gruppen von Elementen auf Basis der Werte in einer ausgewählten Spalte erstellen, um die Details zu analysieren.

So erstellen Sie Gruppen:

  1. Ziehen Sie eine Spalte zur Leiste Zum Festlegen von Zeilengruppen hierher ziehen. Beispielsweise könnten Sie die Spalte Datum dorthin ziehen.
    Für die ausgewählte Spalte werden Gruppen erstellt.

  1. (Optional) Um Gruppen für andere Spalten innerhalb der bestehenden Gruppen zu erstellen, ziehen Sie weitere Spalten zur Leiste Zum Festlegen von Zeilengruppen hierher ziehen. Ziehen Sie beispielsweise die Spalte Aktion neben die Spalte Datum.
    Es werden Untergruppen innerhalb der bestehenden Gruppen erstellt.

Ergebnisse suchen und filtern

Im Abschnitt Ergebnisse können Sie nach einem spezifischen Parameter in der Tabelle Ergebnisse suchen. Sie können die Ergebnisse auch auf Basis der Daten in einer vorgegebenen Spalte filtern.

So suchen Sie nach einem spezifischen Parameter:

  • Geben Sie Text in das Feld Suche ein. Die Suche sucht nach dem Text in allen von der SQL-Abfrage ausgegebenen Informationen.

So filtern Sie die Tabelle Ergebnisse:

  1. Klicken Sie auf Filter.
    Die Filteroptionen werden angezeigt.

  2. Erweitern Sie die Option, die Sie zum Filtern der Tabelle nutzen möchten.

  3. Aktivieren bzw. deaktivieren Sie die Kontrollkästchen für die Daten, die Sie in der Tabelle Ergebnisse anzeigen bzw. ausblenden wollen. Standardmäßig sind alle Kontrollkästchen aktiviert.
    Die Tabelle Ergebnisse wird aktualisiert und die gefilterten Ergebnisse werden in der Liste angezeigt.

Informationen über die Typen der Ereignisse finden Sie unter Felder in den von Cytomic Orion empfangenen Ereignissen (externer Link).

Ähnliche Themen

Erweiterte SQL-Abfrage - Syntax

Über das Tool Erweiterte SQL-Abfrage

Select-Klausel - Syntax

Unterstützte Datentypen

Reguläre Funktionen

Ausführlicher Modus konfigurieren