WebsiteLoginKostenloser TestzugangCommunity

Streams

In dieser Ansicht werden alle gespeicherten Streams angezeigt. Streams fungieren als gespeicherte Filter, mit denen sich bestimmte Logdaten gezielt anzeigen oder weiterverarbeiten lassen. Bestehende Streams können direkt in der Übersicht bearbeitet oder um neue ergänzt werden.

Die Ansicht finden Sie unter SIEM – Streams.

Neuen Stream hinzufügen

Klicken Sie aus der Stream Übersicht auf „+Strem hinzufügen“ am oberen rechten Rand. Anschließend gelangen Sie in die Konfigurationsansicht.

  1. Name Vergeben Sie einen aussagekräftigen Namen, unter dem der Stream in der Übersicht angezeigt wird.

  2. Beschreibung Optional: Beschreiben Sie kurz den Zweck oder die Funktion des Streams.

  3. Tags Weisen Sie Tags zu, um Streams thematisch zu gruppieren oder später leichter wiederzufinden.

  4. Schweregrad Vergeben Sie Ihrem Stream einen Schweregrad. Sie können wählen zwischen den Optionen: Low, Medium, High oder Critical.

  5. Suchfilter Klicken Sie auf "+Suchfilter hinzufügen", um ihrem Stream einen neuen Filter hinzuzufügen. Unter diesem Abschnitt legen Sie fest, welche Felder durch den Stream berücksichtigt werden sollen. Nutzen Sie die Freitextsuche, um bestimmte Filter oder Muster manuell zu definieren. Klicken Sie auf „+ Suchfilter hinzufügen“, um weitere Bedingungen zu ergänzen. Es öffnet sich ein Fenster, füllen Sie die Felder wie folgt aus und speichern Sie die Einstellungen mit Klick auf "Filter hinzufügen" ab:

    1. Feldname Klicken Sie in das Feld oder nutzen Sie die Freitexteingabe, um ein Feld auszuwählen.

    2. Operator Klicken Sie in das Feld und wählen Sie aus den folgenden Operatoren aus:

      1. Gleich Es werden nur Logs berücksichtigt, bei denen das Feld exisitiert und die im folgenden definierten Werte übereinstimmen.

      2. Ungleich Es werden nur Logs berücksichtigt, bei denen das Feld nicht vorhanden ist oder aber die Werte im Feld von den im folgenden definierten abweichen.

      3. Existiert Es werden nur Logs beachtet, bei denen das Feld vorhanden ist.

      4. Existiert nicht Es werden nur Logs beachtet, bei denen das Feld nicht vorhanden ist.

    3. Wert Geben Sie einen Wert ein, nach denen Sie in dem Feld filtern wollen. Klicken Sie auf das + neben der Zeile um weitere Werte zu ergänzen. Definieren Sie bei mehr als einem Wert eine logische Verknüpfung der Werte:

      1. Oder Das Log muss mindestens einen der definierten Werte im Feld haben.

      2. Und Das Log muss alle der definierten Werte im Feld beinhalten

    4. Abgleich Logik Definieren Sie wie die Logs auf die Werte untersucht werden sollen. Wählen Sie hierfür eine der folgenden Optionen durch Klick auf den Check aus:

      1. Exakte Übereinstimmungen Die Werte im Feld müssen exakt der Schreibweise im Filter entsprechen. Auch Groß- und Kleinschreibung werden berücksichtigt.

      2. Groß-/Kleinschreibung ignorieren Die Werte im Feld müssen exakt der Schreibweise im Filter entsprechen. Groß- und Kleinschreibung werden ignoriert.

      3. Regulärer Ausdruck Bei Wahl der Option erscheint ein neues Feld über dem Feld "Wert". Geben Sie hier eine Abgleich-Logik als regulären Ausdruck an.

      4. Volltextsuche Die Werte müssen exakt der Schreibweise im Filter entsprechen. Weitere Werte dürfen vorhanden sein.

  6. Stream-Kombination Klicken Sie auf "+Stream-Kombination hinzufügen", um Ihren neuen Stream mit bestehenden Streams zu kombinieren. Das ist hilfreich, um komplexe Abfragen zu erstellen oder Daten mehrerer Streams zusammenzuführen.

    1. Event-Streams hinzufügen Nutzen Sie die Freitexteingabe, um bestehende Event-Streams auszuwählen oder wählen Sie aus der sich öffnenden Übersicht einen gewünschten Event-Stream aus. Ergänzen Sie weitere Event-Streams durch Klick auf "+Bedingung". Nutzen Sie die Felder "Und" oder "Oder", um die logische Verknüpfung der Event-Streams untereinander festzulegen, diese gilt für den Bezug aller weiteren, unter Event-Streams angegebenen, Bedingungen zueinander.

    2. Unterbedingungen hinzufügen Klicken Sie auf "+Unterbedingung hinzufügen", um einer gewählten Bedingung eine Unterbedingungen hinzuzufügen. Ergänzen Sie weitere Unterbedingungen durch Klick auf "+Unterbedingung". Nutzen Sie die Felder "Und" oder "Oder", um Abweichungen der logischen Verknüpfungen innerhalb der Bedingungen zu definieren.

  7. Ergebnisvorschau Die Ergebnisvorschau bietet Ihnen einen Live Einblick in den Datalake anhand der von Ihnen gesetzten Suchfilter. Nutzen Sie die Vorschau, um die Funktionalität Ihrer Filter live zu überprüfen.

  8. Finale Daten-Query In diesem Bereich wird die vollständige Abfrage angezeigt, die sich aus den definierten Suchfiltern und Kombinationen ergibt. Sie dient als Vorschau, um zu prüfen, ob der Stream wie gewünscht konfiguriert ist und kann exakt so in den Datalake übernommen werden, um ein identisches Ergebnis zu erlangen.

  9. Stream speichern Schließen Sie die Erstellung mit einem Klick auf „Stream hinzufügen“ ab. Der neue Stream erscheint anschließend in der Stream-Übersicht und kann dort weiterbearbeitet werden.

VorherigeWorkflowsNächsteEreignisse

Zuletzt aktualisiert

War das hilfreich?