Advanced Visualization Tool-Fenster

Gilt für: WatchGuard Advanced Reporting Tool und Data Control

Das Advanced Visualization Tool ist eine Plattform für den Betrieb und die Analyse, die das WatchGuard Advanced Reporting Tool und WatchGuard Data Control mit von WatchGuard Advanced EPDR, EPDR und EDR generierten Daten unterstützt.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Zugriff auf Dateizugriffsinformationen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So öffnen Sie das Advanced Visualization Tool:

  1. Wählen Sie in WatchGuard Cloud Überwachen > Endpoints.
  2. Klicken Sie auf Status > Advanced Visualization.

Screen shot of WatchGuard EPDR, Advanced Visualization Tool

Der linke Bereich des Fensters wird erweitert, um die verschiedenen Funktionsbereiche des Advanced Visualization Tool anzuzeigen. Wählen Sie ein Symbol aus, um die entsprechende Seite anzuzeigen.

Home

Wählen Sie im linken Fenster . Die Startbildschirm-Seite bietet einen schnellen Echtzeitüberblick über Ereignisaktivitäten, Warnmeldungen und Statistiken.

Screen shot of WatchGuard EPDR, Advanced Visualization Tool Home page

Last 5 Unread Alerts (Letzte 5 ungelesene Warnmeldungen)

Diese Kachel zeigt die 5 zuletzt in Ihrer Domäne ausgelösten Warnmeldungen. Um die Details einer Warnmeldung anzuzeigen, zeigen Sie auf eine Warnmeldung und wählen Sie View Alerts Details (Warnmeldungsdetails anzeigen). Um die Warnmeldung als geschlossen zu markieren und von dieser Liste zu löschen, klicken Sie auf Eye icon.

Number of Events (Anzahl der Ereignisse)

Diese Kachel zeigt die Gesamtzahl der pro Stunde, Minute etc. empfangenen Ereignisse während des im Dropdown-Menü Time Range ausgewählten Zeitraums. Klicken Sie auf , um die Kachel jedes Mal zu aktualisieren, wenn Sie die Einstellungen ändern. Zeigen Sie auf eine Linie, um die spezifische Ereigniszahl und das Datum zu sehen.

Ziehen Sie die Maus über das Diagramm, um den ausgewählten Bereich zu vergrößern. Um zur Standardansicht zurückzukehren, klicken Sie auf Reset Zoom.

Event Volume (Ereignisvolumen)

Diese Kachel zeigt die Gesamtgröße der im Zeitverlauf empfangenen Ereignisse mit der Größe der damit verbundenen indizierten Daten. ART aggregiert die indizierten Daten alle 24 Stunden. Wenn Sie den Zeitraum auf weniger als 1 Tag festlegen, erstellt ART kein Diagramm der indizierten Daten.

Standardmäßig zeigt die Kachel das jeden Tag im Laufe der letzten 30 Tage aufgenommene Volumen. Nutzen Sie die Menüs Time Range und Period, um einen anderen Zeitraum und eine andere Auflösung zu wählen. Klicken Sie auf , um die Kachel zu aktualisieren.

Zum Vergrößern klicken und ziehen Sie einen Bereich des Diagramms. Um zur vorherigen Ansicht zurückzukehren, klicken Sie auf Reset Zoom.

Um eine Kurzinfo mit den zusammengefassten Informationen über diesen Zeitraum anzuzeigen, zeigen Sie auf eine Spalte.

Um einen Datentyp anzuzeigen oder auszublenden, klicken Sie auf Index oder Data unter dem Diagramm. Standardmäßig werden beide Datentypen angezeigt.

Events by Technology (Ereignisse nach Technologie)

Diese Kachel zeigt die Anzahl und Größe der für jeden Typ und jede Technologie empfangenen Ereignisse. Wählen Sie in den Feldern Time Range und Value den zu analysierenden Zeitraum und die anzuzeigenden Werte. Klicken Sie auf , um die Kachel jedes Mal zu aktualisieren, wenn Sie die Einstellungen ändern. Sie können die Kachel auch durchsuchen und filtern, um die gezeigten Informationen einzugrenzen.

Ziehen Sie die Gruppierungsschlüssel, um die Zellenverteilung zu ändern, und zeigen Sie auf die einzelnen Zellen, um Anzahl und Größe der Ereignisse mit ihrem prozentualen Anteil zu sehen.

Total Daily Volume (Tägliches Gesamtvolumen)

Diese Kachel zeigt einen Heatmap-Kalender, der das tägliche Volumen der in den letzten 12 Monaten aufgenommenen und zu den Indizes in Ihrer Domäne hinzugefügten Daten darstellt.

Um eine Kurzinfo zu dem an diesem Tag aufgenommenen Gesamtvolumen darzustellen, zeigen Sie auf eine Spalte. Die Farbskala ist dynamisch und verwendet die kleinsten und größten Größen des Jahres als Referenzwerte.

Live Event Stats (Live-Ereignis-Statistiken)

Die Anzeigen in dieser Kachel geben die aktuellen durchschnittlichen Aufnahmeniveaus in Ereignissen und Datenvolumen pro Sekunde an. Die Anzeigen sind mit Grün, Gelb und Rot farblich codiert, um die aktuellen Aufnahmeniveaus im Vergleich zu den Höchstniveaus im kürzlich zurückliegenden Zeitraum darzustellen. Die Prozentzahlen innerhalb der Anzeigen zeigen den aktuellen Durchschnittswert im Vergleich zu den letzten Mindest- und Höchstwerten.

Beispielsweise zeigt 90 % an, dass das aktuelle Niveau nahe am letzten Maximum ist, 10 % zeigt ein aktuelles Niveau an, das näher am letzten Minimum liegt und 50 % zeigt an, dass der aktuelle Wert zwischen den Mindest- und Höchstwerten liegt.

Passen Sie die Vergleichszeiträume über Average und Max an und klicken Sie dann auf , um Ihre Änderungen anzuwenden.

My Favorite Searches (Meine Favoriten-Suchvorgänge)

Diese Kachel zeigt eine Liste Ihrer 10 favorisierten Abfragen. Wenn Sie mehr als 10 Abfragen markiert haben, können Sie nur die letzten 10 Favoriten anzeigen.

Global Stats for All Technologies (Globale Statistiken für alle Technologien)

Diese Kachel zeigt das Gesamtvolumen und die Gesamtzahl der empfangenen Ereignisse in Ihren Domänentabellen. Sie können wählen Voronoi Zellen in der Kachel Events by Technology auswählen, um nur die Technologie anzuzeigen, die Sie bewerten wollen.

Data search icon Data Search (Datensuche)

Wählen Sie im linken Fenster . Auf der Seite Data Search können Sie die kumulierten Daten erkunden und durchsuchen oder Suchabfragen öffnen.

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, Data Search page

Explore Your Data (Ihre Daten erkunden)

Auf der Registerkarte Explore Your Data können Sie eine Suche durchführen. Wählen Sie die Tags, die der Tabelle entsprechen, die Sie durchsuchen wollen. Weitere Informationen finden Sie unter Über Datentabellen.

Search History (Suchverlauf)

Auf der Registerkarte Search History (Suchverlauf) können Sie Suchvorgänge sehen, die zuvor ausgeführt wurden, und Sie können diese für einen spezifischen Zeitraum filtern. Weitere Informationen finden Sie unter Datensuche im Advanced Visualization Tool.

Lookup Management (Lookup-Verwaltung)

Auf der Registerkarte Lookup Management können Sie alle Lookups sehen, auf die Sie Zugriff haben, und Informationen, die Ihnen helfen, die Lookups und deren Inhalt zu identifizieren. Weitere Informationen erhalten Sie in den aktuellsten Informationen von Devo docs (externer Link).

Administration

Wählen Sie im linken Fenster die Seite Administration > Alert Configuration. Auf dieser Seite können Sie Warnmeldungen, Zustellmethoden und Benachrichtigungsregeln für Warnmeldungen verwalten.

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, Alert Configuration page

Available Alerts

In der Registerkarte Available Alerts können Sie eine Warnmeldung aktivieren, deaktivieren, bearbeiten oder löschen. Sie können der Warnmeldung auch eine Sendungsregel zuweisen. Weitere Informationen finden Sie unter Verfügbare Warnmeldungen verwalten.

Delivery Methods (Zustellmethoden)

In der Registerkarte Delivery Methods können Sie vorgeben, wie und an wen eine Warnmeldung gesendet wird. Weitere Informationen finden Sie unter Zustellmethoden für Warnmeldungen konfigurieren.

Alert Policies (Benachrichtigungsregeln für Warnmeldungen)

In der Registerkarte Alert Policies können Sie definieren, wie die generierten Warnmeldungen gesendet werden. Dies beinhaltet die Zustellmethode und die Anti-Flooding-Regel. Weitere Informationen finden Sie unter Sendungsregel für Warnmeldungen erstellen und zuweisen.

Advanced Reporting

Wählen Sie im linken Fenster Advanced Reporting und eines der folgenden Dashboards:

  • Security Incidents (Sicherheitsvorfälle) — Zeigt die Malware-Aktivität im ganzen Netzwerk und entsprechende Informationen über die Malware-Ausführung in Endpoints.
  • Application Control (Anwendungskontrolle) — Zeigt detaillierte Informationen über die installierten Anwendungen, die auf Ihren Benutzer-Computern ausgeführt werden.
  • Data Access Control (Datenzugriffskontrolle) — Zeigt Informationen zu Datenströmen in Ihrem Netzwerk, damit Sie Datenlecks und Datendiebstahl erkennen können.

Data Control (Datenzugriffskontrolle)

Wählen Sie im linken Fenster Data Control und eines der folgenden Dashboards:

  • Files and Machines with PII (Dateien und Maschinen mit PII) — Zeigt die Workstations und Server, die PII-Dateien enthalten, die im Netzwerk gefundenen PII-Dateien und die Prozesse, die Vorgänge an diesen ausgeführt haben.
  • User Operations on PII Files (Benutzervorgänge an PII-Dateien) — Zeigt die von Benutzern an PII-Dateien durchgeführten Aktionen und das physische Gerät, auf dem sich die personenbezogenen Daten befinden (z. B. interne Festplatte, USB-Laufwerk).
  • Risk of PII Extraction (Risiko einer PII-Extraktion) — Zeigt Informationen zu verdächtigen Vorgängen, die zu einer Verletzung personenbezogener Daten führen könnten.
  • User Monitored Files (Benutzerüberwachte Dateien) — Zeigt Informationen zu den Dateien, die den von Ihnen festgelegten Überwachungsrichtlinien entsprechen.

Alerts (Warnmeldungen)

Wählen Sie im linken Fenster . Auf der Seite Alerts können Sie die aktuellen Warnmeldungen einsehen und Nachfilter für Warnmeldungen verwalten.

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, Alerts dashboard

Alerts Dashboard (Benachrichtigungen-Dashboard)

In der Kachel Alerts Dashboard können Sie mithilfe eines dynamischen Diagramms die Gesamtmenge der im Bereich Alerts History gezeigten Warnmeldungen analysieren. Die Alerts Overview beinhaltet ein Diagramm mit den in der Domäne ausgelösten Warnmeldungen. Sie können das Diagramm in folgenden Typen darstellen:

  • Liniendiagramm
  • Gruppiertes Balkendiagramm mit Zeitachse
  • Kalenderdiagramm
  • Voronoi-Diagramm

Im Abschnitt Alerts History können Sie alle im Netzwerk ausgelösten Warnmeldungen überprüfen.

Post Filters (Nachfilter)

In der Kachel Post Filters können Sie die Liste der bestehenden Filter durchgehen, einen Filter vorübergehend anhalten, ihn erneut starten oder dauerhaft löschen. Sie können Nachfilter jedoch nicht bearbeiten. Sie müssen sie zuerst löschen und dann neu erstellen. Weitere Informationen finden Sie unter Nachfilter für Warnmeldungen erstellen.

Warnmeldungen filtern

Im Alerts Dashboard können Sie eine Vielfalt an Optionen für das Filtern ausgelöster Warnmeldungen anwenden. Die von Ihnen getroffene Auswahl gilt sowohl für Alerts History als auch Alerts Overview:

  • Um nach Zeit zu filtern, klicken Sie auf eine Zeitoption über dem Diagramm (1 Std., 6 Std., 12 Std., 1 T, 1 W, 1 M, 1 J).
  • Um nach Warnmeldungsstatus zu filtern, klicken Sie auf eine Option über der Liste (Show Open oder Show All ).
  • Um einen Wert als Filterkategorie zu verwenden, klicken Sie auf einen Wert in einer der entsprechenden Spalten (Status, Alert name, Category - SubCategory, oder Priority). Um die angewendeten Filter zurückzusetzen, entfernen Sie diese einzeln oder klicken Sie auf Clear Filter über der Liste.

Preferences (Voreinstellungen)

Wählen Sie im linken Fenster Preferences , um Benutzer-Voreinstellungen zu konfigurieren.

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, User Preferences page

Log Out (Abmelden)

Wählen Sie im linken Fenster dieses Symbol, um sich vom Advanced Reporting Tool abzumelden.

Ähnliche Themen

Über das Advanced Reporting Tool

Über Data Control Advanced Visualization

Dashboards und Kacheln des Advanced Visualization Tool

Über Voronoi-Diagramme