Gilt für: WatchGuard Advanced Reporting Tool
WatchGuard EPDR und WatchGuard EDR erheben Daten und senden sie an das Advanced Visualization Tool, das diese in Datentabellen organisiert. Jede Zeile einer Tabelle ist ein Ereignis, das von WatchGuard EPDR oder WatchGuard EDR überwacht wird.
Neben den allgemeinen für alle Tabellen gültigen Feldern enthalten die Tabellen eine Reihe spezifischer Felder, die zum Beispiel darüber Auskunft geben, wann das Ereignis stattgefunden hat, den Computer, auf dem es erkannt wurde, die IP-Adresse des Computers etc.
In diesem Thema werden Empfehlungen für die zu überwachenden Daten und den Muster-SQL-Abfragetext zum Filtern der Daten in Datentabellen gegeben.
Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Zugriff auf erweiterte Sicherheitsinformationen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.
So verwenden Sie den Muster-SQL-Abfragetext im Advanced Visualization Tool:
- Wählen Sie Data Search
. - Wählen Sie die geeignete Tabelle für den gewünschten Zeitraum.
Um beispielsweise eine Abfrage zu erstellen, die erkannte Remote-Desktop-Verbindungen zu oder von einer externen IP-Adresse anzeigt, wählen Sie die Tabelle oem.panda.paps.socket.
- Klicken Sie in der Symbolleiste auf Query Code Editor (Abfrage-Code-Editor)
. - Löschen Sie die bestehende Abfrage im Editor-Textfeld.
- Fügen Sie den Muster-Code in das Textfeld ein.
- Klicken Sie auf Run.
Beachten Sie den relevanten Abschnitt für Muster-Code:
- Remote Desktop Connection (Port 3389) Detected To or From External IP (Erkannte Remote-Desktop-Verbindung (Port 3389) zu oder von externer IP)
- Top 5 Data Volume Received by Applications in Bytes (1 Week) (Top 5 empfangene Datenmengen nach Anwendung in Bytes (1 Woche))
- Top 5 Data Volume Sent by Applications in Bytes (1 Week) (Top 5 gesendete Datenmengen nach Anwendung in Bytes (1 Woche))
- Top 5 Data Volume Received by Machine in Bytes (1 Week) (Top 5 empfangene Datenmengen nach Gerät in Bytes (1 Woche))
- Top 5 Data Volume Sent by Machine in Bytes (1 Week) (Top 5 gesendete Datenmengen nach Gerät in Bytes (1 Woche))
- Top 5 Data Volume Sent by User in Bytes (1 Week) (Top 5 gesendete Datenmengen nach Benutzer in Bytes (1 Woche))
- Top 5 Data Volume Received by User in Bytes (1 Week) (Top 5 empfangene Datenmengen nach Benutzer in Bytes (1 Woche))
- Top 5 TCP Communication Ports Used to Download from External IPs (Top 5 TCP-Kommunikationsports, die zum Herunterladen von externen IPs verwendet wurden)
- Top 5 TCP Communication Ports Used to Upload to External IPs (Top 5 TCP-Kommunikationsports, die zum Hochladen zu externen IPs verwendet wurden)
- Top 5 UDP Communication Ports Used to Download from External IPs (Top 5 UDP-Kommunikationsports, die zum Herunterladen von externen IPs verwendet wurden)
- Top 5 UDP Communication Ports Used to Upload to External IPs (Top 5 UDP-Kommunikationsports, die zum Hochladen zu externen IPs verwendet wurden)
- Top 10 Countries and Ports (Download 1 Week) (Top 10 Länder und Ports (Download 1 Woche))
- Top 10 Countries and Ports (Upload 1 Week) (Top 10 Länder und Ports (Hochladen 1 Woche))
- Total Download Count of Executable Files (.EXE in 1 Week) (Gesamtzahl Downloads ausführbarer Dateien (.EXE in 1 Woche))
- Total Download Count of Compressed Format Files (.ZIP, .RAR , .7Z in 1 Week) (Gesamtzahl Downloads von Dateien im komprimierten Format (ZIP, RAR, 7Z in 1 Woche))
- Total Download Count of Office Documents (.DOC* , .XLS* , .PPT* , .OCT) (Gesamtzahl der Downloads von Office-Dokumenten (DOC*, XLS*, PPT*, OCT))
- Malware and Potential Unwanted Programs (PUP) in Numbers (1 Week) (Malware und potenziell unerwünschte Programme (PUP) in Zahlen (1 Woche))
- Vulnerable Applications or Outdated Software Executed (Ausgeführte gefährdete Anwendungen oder veraltete Software)
- Number of Possible Vulnerable Applications Detected (Anzahl erkannter möglicherweise gefährdeter Anwendungen)
Remote Desktop Connection (Port 3389) Detected To or From External IP (Erkannte Remote-Desktop-Verbindung (Port 3389) zu oder von externer IP)
Remote-Desktop-Dienste, die ohne angemessene Sicherheitsmaßnahmen geöffnet sind, weisen ein hohes Angriffsrisiko auf. Angreifer nutzen dies mittels Brute Force-Angriffen aus oder sie gelangen mittels gestohlener Zugangsdaten ins Netzwerk. Viele Ransomware-Angriffe beginnen über offene Remote-Desktop-Dienste.
Wir empfehlen Ihnen, Sicherheitsmaßnahmen zu ergreifen, um Angriffe über diese Dienste zu verhindern.
Tabelle
oem.panda.paps.socket
Muster-Code
from oem.panda.paps.socket
where localPort = 3389,
ispublic(remoteIP)
Top 5 Data Volume Received by Applications in Bytes (1 Week) (Top 5 empfangene Datenmengen nach Anwendung in Bytes (1 Woche))
Wenn Sie den von jeder Anwendung verbrauchten Datenverkehrs nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Wenn Prozesse mehr Daten als normal verbrauchen, empfehlen wir Ihnen, dies zu überwachen und aktive Warnmeldungen einzurichten. So können Sie Probleme frühzeitig erkennen und bei Bedarf handeln. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
Tabelle
oem.panda.paps.processnetbytes
Muster-Code
from oem.panda.paps.processnetbytes where endswith(path,".exe")
group every 30m by path
every 0
select peek(path, re("\\\\(\\w+.\\w+)$"), 0) as executable
select sum(bytesReceived) as bytesReceived,
bytesReceived > 1073741824 as `+1G`,
bytesReceived > 2147483648 as `+2G`,
bytesReceived > 3221225472 as `+3G`,
bytesReceived > 4294967296 as `+4G`,
bytesReceived > 5368709120 as `+5G`,
bytesReceived > 6442450944 as `+6G`,
bytesReceived > 7516192768 as `+7G`,
bytesReceived > 8589934592 as `+8G`,
bytesReceived > 9663676416 as `+9G`,
bytesReceived > 10737418240 as `+10G`
Top 5 Data Volume Sent by Applications in Bytes (1 Week) (Top 5 gesendete Datenmengen nach Anwendung in Bytes (1 Woche))
Wenn Sie den gesendeten Datenverkehr nach Anwendung nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Wenn Prozesse mehr Daten als normal verbrauchen, empfehlen wir Ihnen, dies zu überwachen und aktive Warnmeldungen einzurichten. So können Sie Probleme frühzeitig erkennen und bei Bedarf handeln. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
Tabelle
oem.panda.paps.processnetbytes
Muster-Code
from oem.panda.paps.processnetbytes where endswith(path,".exe")
group every 30m by path
every 0
select peek(path, re("\\\\(\\w+.\\w+)$"), 0) as executable
select sum(bytesSent) as bytesSent,
bytesSent > 1073741824 as `+1G`,
bytesSent > 2147483648 as `+2G`,
bytesSent > 3221225472 as `+3G`,
bytesSent > 4294967296 as `+4G`,
bytesSent > 5368709120 as `+5G`,
bytesSent > 6442450944 as `+6G`,
bytesSent > 7516192768 as `+7G`,
bytesSent > 8589934592 as `+8G`,
bytesSent > 9663676416 as `+9G`,
bytesSent > 10737418240 as `+10G`
Top 5 Data Volume Received by Machine in Bytes (1 Week) (Top 5 empfangene Datenmengen nach Gerät in Bytes (1 Woche))
Wenn Sie den heruntergeladenen Datenverkehr nach Anwendung nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Wenn Prozesse mehr Daten als normal verbrauchen, empfehlen wir Ihnen, dies zu überwachen und aktive Warnmeldungen einzurichten. So können Sie Probleme frühzeitig erkennen und bei Bedarf handeln. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
Tabelle
oem.panda.paps.processnetbytes
Muster-Code
from oem.panda.paps.processnetbytes
group every 30m by machineName
every 0
select sum(bytesReceived) as bytesReceived,
bytesReceived > 1073741824 as `+1G`,
bytesReceived > 2147483648 as `+2G`,
bytesReceived > 3221225472 as `+3G`,
bytesReceived > 4294967296 as `+4G`,
bytesReceived > 5368709120 as `+5G`,
bytesReceived > 6442450944 as `+6G`,
bytesReceived > 7516192768 as `+7G`,
bytesReceived > 8589934592 as `+8G`,
bytesReceived > 9663676416 as `+9G`,
bytesReceived > 10737418240 as `+10G`
Top 5 Data Volume Sent by Machine in Bytes (1 Week) (Top 5 gesendete Datenmengen nach Gerät in Bytes (1 Woche))
Wenn Sie den hochgeladenen Datenverkehr nach Anwendung nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Wenn Prozesse mehr Daten als normal verbrauchen, empfehlen wir Ihnen, dies zu überwachen und aktive Warnmeldungen einzurichten. So können Sie Probleme frühzeitig erkennen und bei Bedarf handeln. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
Tabelle
oem.panda.paps.processnetbytes
Muster-Code
from oem.panda.paps.processnetbytes
group every 30m by machineName
every 0
select sum(bytesSent) as bytesSent,
bytesSent > 1073741824 as `+1G`,
bytesSent > 2147483648 as `+2G`,
bytesSent > 3221225472 as `+3G`,
bytesSent > 4294967296 as `+4G`,
bytesSent > 5368709120 as `+5G`,
bytesSent > 6442450944 as `+6G`,
bytesSent > 7516192768 as `+7G`,
bytesSent > 8589934592 as `+8G`,
bytesSent > 9663676416 as `+9G`,
bytesSent > 10737418240 as `+10G`
Top 5 Data Volume Sent by User in Bytes (1 Week) (Top 5 gesendete Datenmengen nach Benutzer in Bytes (1 Woche))
Wenn Sie den hochgeladenen Datenverkehr nach Benutzer nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Wenn Prozesse mehr Daten als normal verbrauchen, empfehlen wir Ihnen, dies zu überwachen und aktive Warnmeldungen einzurichten. So können Sie Probleme frühzeitig erkennen und bei Bedarf handeln. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
Tabelle
oem.panda.paps.processnetbytes
Muster-Code
from oem.panda.paps.processnetbytes
group every 30m by user
every 0
select sum(bytesSent) as bytesSent,
bytesSent > 1073741824 as `+1G`,
bytesSent > 2147483648 as `+2G`,
bytesSent > 3221225472 as `+3G`,
bytesSent > 4294967296 as `+4G`,
bytesSent > 5368709120 as `+5G`,
bytesSent > 6442450944 as `+6G`,
bytesSent > 7516192768 as `+7G`,
bytesSent > 8589934592 as `+8G`,
bytesSent > 9663676416 as `+9G`,
bytesSent > 10737418240 as `+10G`
Top 5 Data Volume Received by User in Bytes (1 Week) (Top 5 empfangene Datenmengen nach Benutzer in Bytes (1 Woche))
Wenn Sie den heruntergeladenen Datenverkehr nach Benutzer nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Wenn Prozesse mehr Daten als normal verbrauchen, empfehlen wir Ihnen, dies zu überwachen und aktive Warnmeldungen einzurichten. So können Sie Probleme frühzeitig erkennen und bei Bedarf handeln. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
Tabelle
oem.panda.paps.processnetbytes
Muster-Code
from oem.panda.paps.processnetbytes
group every 30m by user
every 0
select sum(bytesReceived) as bytesReceived,
bytesReceived > 1073741824 as `+1G`,
bytesReceived > 2147483648 as `+2G`,
bytesReceived > 3221225472 as `+3G`,
bytesReceived > 4294967296 as `+4G`,
bytesReceived > 5368709120 as `+5G`,
bytesReceived > 6442450944 as `+6G`,
bytesReceived > 7516192768 as `+7G`,
bytesReceived > 8589934592 as `+8G`,
bytesReceived > 9663676416 as `+9G`,
bytesReceived > 10737418240 as `+10G`
Top 5 TCP Communication Ports Used to Download from External IPs (Top 5 TCP-Kommunikationsports, die zum Herunterladen von externen IPs verwendet wurden)
Wenn Sie die für den Download von externen IP-Adressen genutzten TCP-Ports nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Wenn Prozesse mehr Daten als normal verbrauchen, empfehlen wir Ihnen, dies zu überwachen und aktive Warnmeldungen einzurichten. So können Sie Probleme frühzeitig erkennen und bei Bedarf handeln. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
Tabelle
oem.panda.paps.socket
Muster-Code
from oem.panda.paps.socket
where ispublic(remoteIP)
group every 30m by protocol, localPort, direction
every 0
select count() as count,
count > 100 as `+100_times`,
count > 500 as `+500_times`,
count > 1000 as `+1000_times`,
count > 2000 as `+2000_times`,
count > 5000 as `+5000_times`,
count > 10000 as `+10000_times`
where protocol = "TCP"
where direction = "Down"
Top 5 TCP Communication Ports Used to Upload to External IPs (Top 5 TCP-Kommunikationsports, die zum Hochladen zu externen IPs verwendet wurden)
Wenn Sie die für den Upload zu externen IP-Adressen genutzten TCP-Ports nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Wenn Prozesse mehr Daten als normal verbrauchen, empfehlen wir Ihnen, dies zu überwachen und aktive Warnmeldungen einzurichten. So können Sie Probleme frühzeitig erkennen und bei Bedarf handeln. Weitere Informationen finden Sie unter Warnmeldungen im Advanced Visualization Tool erstellen.
Tabelle
oem.panda.paps.socket
Muster-Code
from oem.panda.paps.socket
where ispublic(remoteIP)
group every 30m by protocol, localPort, direction
every 0
select count() as count,
count > 100 as `+100_times`,
count > 500 as `+500_times`,
count > 1000 as `+1000_times`,
count > 2000 as `+2000_times`,
count > 5000 as `+5000_times`,
count > 10000 as `+10000_times`
where protocol = "TCP"
where direction = "Up"
Top 5 UDP Communication Ports Used to Download from External IPs (Top 5 UDP-Kommunikationsports, die zum Herunterladen von externen IPs verwendet wurden)
Wenn Sie die für den Download von externen IP-Adressen genutzten UDP-Ports nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.socket
Muster-Code
from oem.panda.paps.socket
where ispublic(remoteIP)
group every 30m by protocol, localPort, direction
every 0
select count() as count,
count > 100 as `+100_times`,
count > 500 as `+500_times`,
count > 1000 as `+1000_times`,
count > 2000 as `+2000_times`,
count > 5000 as `+5000_times`,
count > 10000 as `+10000_times`
where protocol = "UDP"
where direction = "Down"
Top 5 UDP Communication Ports Used to Upload to External IPs (Top 5 UDP-Kommunikationsports, die zum Hochladen zu externen IPs verwendet wurden)
Wenn Sie die für den Upload zu externen IP-Adressen genutzten UDP-Ports nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.socket
Muster-Code
from oem.panda.paps.socket
where ispublic(remoteIP)
group every 30m by protocol, localPort, direction
every 0
select count() as count,
count > 100 as `+100_times`,
count > 500 as `+500_times`,
count > 1000 as `+1000_times`,
count > 2000 as `+2000_times`,
count > 5000 as `+5000_times`,
count > 10000 as `+10000_times`
where protocol = "UDP"
where direction = "Up"
Top 10 Countries and Ports (Download 1 Week) (Top 10 Länder und Ports (Download 1 Woche))
Wenn Sie die Top-Länder und für den Download genutzten TCP-Ports nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.socket
Muster-Code
from oem.panda.paps.socket where ispublic(remoteIP)
select mmcountry(remoteIP) as CC
where isnotnull(CC)
group every 30m by CC, localPort, protocol, direction
every 0
select count() as count,
count > 100 as `+100`,
count > 300 as `+300`,
count > 500 as `+500`,
count > 800 as `+800`,
count > 1000 as `+1000`,
count > 1500 as `+1500`,
count > 2000 as `+2000`,
count > 5000 as `+5000`,
count > 10000 as `+10000`,
count > 15000 as `+15000`,
count > 20000 as `+20000`
where direction = "Down"
Top 10 Countries and Ports (Upload 1 Week) (Top 10 Länder und Ports (Hochladen 1 Woche))
Wenn Sie die Top-Länder und für den Upload genutzten TCP-Ports nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.socket
Muster-Code
from oem.panda.paps.socket where ispublic(remoteIP)
select mmcountry(remoteIP) as CC
where isnotnull(CC)
group every 30m by CC, localPort, protocol, direction
every 0
select count() as count,
count > 1 as `+1`,
count > 50 as `+50`,
count > 100 as `+100`,
count > 300 as `+300`,
count > 500 as `+500`,
count > 800 as `+800`,
count > 1000 as `+1000`,
count > 1500 as `+1500`,
count > 2000 as `+2000`,
count > 5000 as `+5000`,
count > 10000 as `+10000`,
count > 15000 as `+15000`,
count > 20000 as `+20000`
where direction = "Up"
Total Download Count of Executable Files (.EXE in 1 Week) (Gesamtzahl Downloads ausführbarer Dateien (.EXE in 1 Woche))
Wenn Sie die am häufigsten von Benutzern heruntergeladenen Programmdateien nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.urldownload
Muster-Code
from oem.panda.paps.urldownload
where endswith(url, ".exe")
group every 30m
every 0
select count() as count
Total Download Count of Compressed Format Files (.ZIP, .RAR , .7Z in 1 Week) (Gesamtzahl Downloads von Dateien im komprimierten Format (ZIP, RAR, 7Z in 1 Woche))
Wenn Sie die am häufigsten von Benutzern heruntergeladenen komprimierten Dateien nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.urldownload
Muster-Code
from oem.panda.paps.urldownload
where has(url, ".zip", ".rar", ".7z")
group every 30m
every 0
select count() as count
Total Download Count of Office Documents (.DOC* , .XLS* , .PPT* , .OCT) (Gesamtzahl der Downloads von Office-Dokumenten (DOC*, XLS*, PPT*, OCT))
Wenn Sie die am häufigsten von Benutzern heruntergeladenen Dateien des Typs Office-Dokument nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.urldownload
Muster-Code
from oem.panda.paps.urldownload
where has(url, ".doc*", ".xls*", ".ppt*" , ".oct")
group every 30m
every 0
select count() as count
Torrent Activity Detected (Erkannte Torrent-Aktivität)
Wenn Sie Torrent-Aktivität von Benutzern nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.urldownload
Muster-Code
from oem.panda.paps.urldownload
where url -> "torrent"
group every 30m
every 0
select count() as count
Malware and Potential Unwanted Programs (PUP) in Numbers (1 Week) (Malware und potenziell unerwünschte Programme (PUP) in Zahlen (1 Woche))
Wenn Sie Malware- und PUP-Warnmeldungen je Woche nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.alert
Muster-Code
from oem.panda.paps.alert
group every 30m by alertType, executionStatus
every 0
select count() as count
Vulnerable Applications or Outdated Software Executed (Ausgeführte gefährdete Anwendungen oder veraltete Software)
Wenn Sie die von Benutzern verwendeten gefährdeten Anwendungen oder veraltete Software nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.ops
Muster-Code
from oem.panda.paps.ops where isnotnull(ocsVer), endswith(childPath, ".exe") select subs(childPath, re(".*\\\\"), template("")) as executablename, lower(executablename) as executablename2, split(executablename2, ".exe", 0) as executable
group every 30m
every 0
select count() as count
Number of Possible Vulnerable Applications Detected (Anzahl erkannter möglicherweise gefährdeter Anwendungen)
Wenn Sie die verwendeten möglicherweise anfälligen Anwendungen nachverfolgen, hilft dies bei der schnellen Erkennung von Missbrauch, Anwendungsfehlern, möglicher Datenexfiltration und mehr.
Tabelle
oem.panda.paps.vulnerableappsfound
Muster-Code
from oem.panda.paps.vulnerableappsfound
group every 30m by companyName
every 0
select count() as count