Fenster Untersuchungsdiagramm

Gilt für: WatchGuard Advanced EPDR

Um die Daten in den Untersuchungsdiagrammfenstern leichter analysieren zu können, können Sie die detaillierte Ereignis-Telemetrie in Form von Diagrammen anzeigen. In den Untersuchungsdiagrammfenstern werden Ereignisse mit Knoten und Pfeilen dargestellt, um Einheiten und die zwischen ihnen bestehenden Beziehungen zu zeigen. Die in einem Diagramm dargestellten Informationen entsprechen den in erweiterten SQL-Abfragen gezeigten Daten.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Computer hinzufügen, suchen und löschen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So öffnen Sie das Fenster Untersuchungsdiagramm in der Endpoint Security-Verwaltungsoberfläche:

  1. Um Computerdetails zu öffnen, wählen Sie Computer und wählen dann einen Computer aus.
  2. Klicken Sie auf der Seite Untersuchung auf .

    Screenshot of graphs menu option

  3. Wählen Sie Diagramme.
    Das Dialogfeld Neue grafische Untersuchung wird mit den verfügbaren Diagrammvorlagen geöffnet.

    Screenshot of investigation graph templates

  4. Wählen Sie die Vorlage Prozessbaum aus.
    Die Eigenschaften für das neue Diagramm werden geöffnet.

    Screenshot of properties of the new notebook for process tree template

  5. Geben Sie die Eigenschaften für das neue Notizbuch an:
    • muid — Geben Sie die unverwechselbare Kennung für alle Computer, die Sie untersuchen wollen, an.
    • date_event — Geben Sie das Datum an, an dem das Ereignis, das Sie untersuchen wollen, aufgetreten ist. Das Diagramm zeigt Ereignisse vom Tag vor bis zum Tag nach dem angegebenen Datum.
    • parentmd5 — Geben Sie den MD5-Hashcode für den übergeordneten Prozess ein.
    • parentpid — Geben Sie die übergeordnete Prozess-ID für die spezifische Ausführungsinstanz des Programms ein. Diese wird als Startknoten auf dem Diagramm angezeigt.
  6. Klicken Sie auf OK.
    Das Fenster Untersuchungsdiagramm wird geöffnet.

    Screenshot of the graph structure

Über das Fenster Untersuchungsdiagramm

Das Fenster Untersuchungsdiagramm ist in folgende Bereiche unterteilt:

  • Diagramm — Stellt eine Reihe von Ereignissen mit Knoten und Pfeilen dar, um Einheiten und die zwischen ihnen bestehenden Beziehungen zu zeigen. Die Zahlen auf den Pfeilen geben die Reihenfolge an, in der die Ereignisse erfasst wurden.
  • Informationsfenster — Der Informationsbereich auf der rechten Seite des Fensters zeigt Informationen über den ausgewählten Knoten bzw. die ausgewählte Linie.
  • Diagramm-Symbolleiste — Mit der Symbolleiste auf der linken Seite des Fensters können Sie das Aussehen des Diagramms ändern, Änderungen rückgängig machen oder wiederherstellen, nach Knoten suchen oder diese filtern. Weitere Informationen finden Sie unter Diagrammeinstellungen konfigurieren.
  • Timeline — Die Timeline unter dem Diagramm zeigt ein Histogramm mit grünen Balken, die von einer Bedrohung ausgeführte Ereignisse anzeigen. Sie können die Größe des Intervalls, in dem die gezeigten Ereignisse aufgetreten sind, vergrößern oder verkleinern, so dass Sie sie besser sehen können. Sie können die Timeline auch ausblenden, einblenden oder zurücksetzen. Weitere Informationen zur Verwendung der Timeline finden Sie unter Timeline anzeigen.

Informationen zum Konfigurieren der Diagrammeinstellungen finden Sie unter Diagrammeinstellungen konfigurieren.

Informationen zu Farben, Fenstern und anderen Diagrammeigenschaften, die Informationen zu Einheiten und den zwischen ihnen bestehenden Beziehungen anzeigen, finden Sie unter Über Knoten und Pfeile in Untersuchungsdiagrammen.

Ähnliche Themen

Eine Computeruntersuchung erstellen

Über das Tool Erweiterte SQL-Abfrage