Gilt für: WatchGuard Advanced Reporting Tool und Data Control
WatchGuard Advanced EPDR, EPDR und EDR (WatchGuard Endpoint Security) senden Daten an das Advanced Visualization Tool, das diese in übersichtlichen Datentabellen organisiert.
Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Zugriff auf Dateizugriffsinformationen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.
Jede Zeile einer Datentabelle stellt ein von WatchGuard Endpoint Security überwachtes Ereignis dar. Die Daten werden bis zu einem Jahr lang aufbewahrt. Im Advanced Visualization Tool können Sie die Informationen in Ihren Datentabellen suchen, durchstöbern und analysieren.
- Wählen Sie im linken Fenster Data Search, um die Liste der verfügbaren Datentabellen anzuzeigen.
Die Spalte Subtype zeigt die Liste der Tabellen.
Wenn Sie eine Datentabelle öffnen, wird im linken Fenster unter Data Search eine Verknüpfung angezeigt. Wählen Sie die Verknüpfung, um die Datentabelle schnell zu öffnen.
Finders gruppieren und organisieren die auf die Daten angewendeten Tags in vier Stufen — Technology, Brand, Type und Subtype.
Tabellen speziell für Daten im WatchGuard Advanced Reporting Tool
Diese Datentabellen sind standardmäßig mit dem Tag Subtype (Untertyp) verfügbar. Informationen zu den Feldern der einzelnen Datentabellen finden Sie unter Advanced Reporting Tool — Datenfelder.
alert
Diese Datentabelle enthält Informationen zu Vorfällen in der Kachel Activity auf dem WatchGuard Endpoint Security-Dashboard.Sie enthält eine Zeile für jede im Netzwerk erkannte Bedrohung mit Informationen, wie z. B. betroffener Computer, Typ des Vorfalls, Zeitstempel und Ergebnis.
Sie können mehrere Felder in der Tabelle Alerts nutzen, um wertvolle Informationen zu den Angriffen zu extrahieren:
- Eventdate — Gruppieren Sie die Tabelle nach diesem Feld, um die Anzahl der täglichen Angriffe zu sehen und zu ermitteln, ob es einen derzeit stattfindenden Angriff gibt.
- dwellTimeSecs — Zeigt das Erkennungsfenster der empfangenen Bedrohungen. Dies ist der Zeitraum von der erstmaligen Erkennung der Bedrohung im Netzwerk bis zu ihrer Klassifikation.
- itemHash — Da der Name der Bedrohung sich je nach Sicherheitsanbieter unterscheidet, können Sie für die Gruppierung der Bedrohungen das Hash-Feld anstatt des itemName nutzen. Dies hilft auch, zwischen mit demselben Namen bezeichneter Malware zu unterscheiden.
install
Diese Datentabelle protokolliert Informationen über die Installation des Endpoint Agent auf Computern
monitoredopen
Diese Datentabelle protokolliert die Datendateien, auf die von Anwendungen zugegriffen wurde, die normalerweise nicht für den Zugriff auf diesen Dateityp genutzt werden.
monitoredregistry
Diese Datentabelle protokolliert jeden Versuch, die Registry zu ändern sowie Fälle, in denen Software auf Registry-Berechtigungen, -Kennwörter, Zertifikatspeicher oder ähnliche Informationen zugreift.
notblocked
Diese Datentabelle protokolliert die Elemente, die WatchGuard Endpoint Security aufgrund von Ausnahmesituationen nicht scannt, wie z. B. Timeout von Diensten beim Hochfahren oder Konfigurationsänderungen.
ops
Diese Datentabelle protokolliert alle von den im Netzwerk erkannten Prozessen ausgeführten Vorgänge.
processnetbytes
Diese Datentabelle protokolliert den Datenverbrauch der im Netzwerk erkannten Prozesse. ART generiert ungefähr alle vier Stunden ein Protokoll für jeden Prozess mit der Menge der seit dem Senden des letzten Protokolls übertragenen Daten.
Verwenden Sie diese Tabelle, um zu sehen, welche Programme auf den Netzwerkcomputern die meisten Daten nutzen. Diese Tabelle unterscheidet nicht zwischen interner und externer Datennutzung.Die Gesamtmenge der von einem Prozess genutzten Daten kann eine Mischung aus Daten sein, die über das Internet abgefragt wurden, und solchen, die von Ihren internen Servern (wie Mail-Server, Intranet-Webserver, zwischen Workstations freigegebene Dateien) erlangt wurden.
registry
Diese Datentabelle protokolliert alle auf den Registry-Zweigen ausgeführten Vorgänge, die von böswilligen Programmen verwendet werden, um persistent zu werden, d. h. sie werden mit dem Neustart von Computern wieder neu geladen.
Diese Datentabelle protokolliert, wenn Prozesse auf die Registry zugreifen und Zweige ändern, die beim Systemstart während des Hochfahrens des Betriebssystems gelesen werden.Malware ändert diese Zweige, um sicherzustellen, dass sie bei jedem Hochfahren ausgeführt werden.
Viele Registry-Zweige lassen die Ausführung eines Programms beim Hochfahren zu, aber die folgenden Zweige werden am häufigsten von Trojanern und anderen Arten von Bedrohungen missbraucht:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
socket
Diese Datentabelle protokolliert alle von den im Netzwerk erkannten Prozessen hergestellten Netzwerkverbindungen.
toastblocked
Diese Datentabelle enthält einen Datensatz für jeden Prozess, der blockiert wurde, weil WatchGuard Endpoint Security noch keine relevante Klassifizierung zurückgegeben hat.
URLdownload
Diese Datentabelle enthält Informationen zu den von im Netzwerk erkannten Prozessen ausgeführten HTTP-Downloads (wie z. B. URLs, heruntergeladene Dateidaten, Computer, die die Daten heruntergeladen haben).
Diese Tabelle zeigt alle von Benutzern im Netzwerk ausgeführten Downloads, unabhängig davon, ob es sich um Malware oder Goodware handelt. Sie können dies nach Download-Informationen filtern und ein Diagramm mit den Domänen anzeigen, die die meisten Download-Anfragen erhalten haben.
vulnerableappsfound
Diese Datentabelle protokolliert alle auf allen Computern im Netzwerk gefundenen gefährdeten Anwendungen.Im Gegensatz zur Ops-Tabelle, deren Felder ocsExec, ocsName und ocsVer die auf dem Netzwerk ausgeführten gefährdeten Anwendungen zeigen, zeigt diese Tabelle alle gefährdeten Anwendungen, die sich auf den Computern befinden. WatchGuard Endpoint Security sendet für jede erkannte Anwendung ein tägliches Protokoll. Wenn WatchGuard Endpoint Security eine Anwendung erkennt, stoppt der Endpoint Agent das Senden des relevanten Ereignis.
Verwenden Sie diese Tabelle, um zu ermitteln, auf welchen Computer im Netzwerk sich die meisten gefährdeten Anwendungen befinden.
Tabellen speziell für Daten von WatchGuard Data Control
Wenn ein Prozess auf Dateien mit personenbezogenen Daten (PII) zugreift, werden die Informationen an den WatchGuard Data Control-Server gesendet, wo sie in einer übersichtlichen Tabelle organisiert werden.
Jede Zeile der Tabelle stellt ein von Data Control überwachtes Ereignis dar und enthält Informationen zum Beispiel darüber, wann das Ereignis stattfand, auf welchem Computer es stattfand und die IP-Adresse dieses Computers. Informationen zu den Feldern der einzelnen Datentabellen finden Sie unter Data Control-Visualisierung — Datenfelder.
Diese Datentabellen sind standardmäßig mit den folgenden Subtype-Tags (Untertyp) im Advanced Visualization Tool verfügbar:
ops
Diese Datentabelle speichert alle Informationen im Zusammenhang mit der Überwachung von Dateien mit personenbezogenen Daten.
usrrules
Diese Datentabelle speichert alle Informationen, die aus Dateien erfasst wurden, die in den vom Administrator festgelegten Richtlinien angegeben wurden.
usrrulesmail
Diese Datentabelle speichert alle Informationen, die aus den E-Mail-Nachrichten stammen, die Dateien enthalten, die gemäß den vom Administrator festgelegten Richtlinien überwacht werden.
Diese Datentabelle speichert alle Informationen aus E-Mail-Nachrichten, die als PII klassifizierte Dateien enthalten, sowie die Merkmale der Dateien mit personenbezogenen Daten.