Citrix Analytics für Sicherheit

Self-Service-Suche

Was ist Self-Service-Suche?

Mit der Self-Service-Suchfunktion können Sie Benutzerereignisse finden und filtern, die von Ihren Datenquellen empfangen wurden. Sie können die zugrunde liegenden Benutzerereignisse und deren Attribute untersuchen. Diese Ereignisse helfen Ihnen, Datenprobleme zu identifizieren und sie zu beheben. Auf der Suchseite werden verschiedene Facetten (Dimensionen) und Metriken für eine Datenquelle angezeigt. Sie können Ihre Suchabfrage definieren und Filter anwenden, um die Ereignisse anzuzeigen, die Ihren definierten Kriterien entsprechen. Standardmäßig werden auf der Self-Service-Suchseite Benutzerereignisse für den letzten Monat angezeigt.

Derzeit ist die Self-Service-Suchfunktion für die folgenden Datenquellen verfügbar:

Außerdem können Sie Self-Service-Suche nach Ereignissen durchführen, die Ihren definierten Richtlinien entsprechen. Weitere Informationen finden Sie unter Self-Service-Suche nach Richtlinien.

So greifen Sie auf die Self-Service-Suche zu

Sie können auf die Self-Service-Suche zugreifen, indem Sie die folgenden Optionen verwenden:

  • Obere Leiste: Klicken Sie in der oberen Leiste auf Suchen, um alle Benutzerereignisse für die ausgewählte Datenquelle anzuzeigen.

  • Risikozeitleiste auf einer Benutzerprofilseite: Klicken Sie auf Ereignissuche, um die Ereignisse für den jeweiligen Benutzer anzuzeigen.

Self-Service-Suche über die obere Leiste

Verwenden Sie diese Option, um von einer beliebigen Stelle in der Benutzeroberfläche zur Self-Service-Suchseite zu wechseln.

  1. Klicken Sie auf Suchen, um die Self-Service-Seite anzuzeigen.

    Suche in der oberen Leiste

  2. Wählen Sie die Datenquelle und den Zeitraum aus, um die entsprechenden Ereignisse anzuzeigen.

    Suchseite der oberen Leiste

Self-Service-Suche über die Risikozeitleiste des Benutzers

Verwenden Sie diese Option, wenn Sie die Benutzerereignisse anzeigen möchten, die einem Risikoindikator zugeordnet sind.

Wenn Sie einen Risikoindikator aus der Zeitleiste eines Benutzers auswählen, wird im rechten Bereich der Risikoindikatorinformationen angezeigt. Klicken Sie auf Ereignissuche, um die Ereignisse zu untersuchen, die dem Benutzer und der Datenquelle (für die der Risikoindikator ausgelöst wird) auf der Self-Service-Suchseite zugeordnet sind.

Risiko-Timeline-Suche

Weitere Informationen zum Zeitplan für das Benutzerrisiko finden Sie unter Risiko-Timeline.

So verwenden Sie die Self-Service-Suche

Verwenden Sie die folgenden Funktionen auf der Self-Service-Suchseite:

Übersichtsseite durchsuchen

Verwenden von Facetten zum Filtern von Ereignissen

Facetten sind die Zusammenfassung von Datenpunkten, die ein Ereignis darstellen. Facetten variieren je nach Datenquelle. Die Facetten für die Access Control-Datenquelle sind beispielsweise Reputation, Aktionen, Standort und Kategoriegruppe. Während die Facetten für Virtual Apps und Desktops Ereignistyp, Domäne und Plattform sind.

Wählen Sie die Facetten aus, um Ihre Suchergebnisse zu filtern. Auf der Self-Service-Suchseite werden die ausgewählten Facetten als Chips angezeigt. Weitere Informationen zu den Facetten, die jeder Datenquelle entsprechen, finden Sie im Self-Service-Suchartikel für die Datenquelle, die weiter oben in diesem Artikel erwähnt wird.

Verwenden der Suchabfrage im Suchfeld zum Filtern von Ereignissen

Wenn Sie den Cursor in das Suchfeld platzieren, zeigt das Suchfeld eine Liste der Dimensionen basierend auf den Benutzerereignissen an. Diese Dimensionen variieren je nach Datenquelle. Verwenden Sie die Dimensionen und das Gültige Betreiber, um Ihre Suchkriterien zu definieren und nach den erforderlichen Ereignissen zu suchen.

Beispielsweise erhalten Sie bei der Self-Service-Suche nach Zugriff die folgenden Dimensionen für die Zugriffsereignisse. Verwenden Sie die Dimensionen, um Ihre Abfrage einzugeben, wählen Sie den Zeitraum aus und klicken Sie dann auf Suchen.

Suchabfrage

Unterstützte Betreiber bei Suchanfrage

Verwenden Sie die folgenden Operatoren in Ihren Suchanfragen, um Ihre Suchergebnisse zu verfeinern.

Operator Beschreibung Beispiel Ausgabe
: Zuweisen eines Werts zur Suchabfrage Benutzername: John Zeigt Ereignisse für den Benutzer John an
= Zuweisen eines Werts zur Suchabfrage Benutzername = John Zeigt Ereignisse für den Benutzer John an
~ Ähnliche Werte suchen Benutzername ~ test Zeigt Ereignisse mit ähnlichen Benutzernamen an
”” Werte durch Leerzeichen getrennt einschließen Benutzername = “John Smith” Zeigt Ereignisse für den Benutzer John Smith an
<, > Nach relationalem Wert suchen Datenvolumen > 100 Zeigt Ereignisse an, bei denen Datenvolumen größer als 100 GB ist
AND Suchwerte, bei denen beide Bedingungen zutreffen Benutzername: John AND Datenvolumen > 100 Zeigt Ereignisse des Benutzers John an, bei denen Datenvolumen größer als 100 GB ist
* Suchwerte, die mit dem Zeichen Null oder mehrfach übereinstimmen Benutzername = John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen
    Benutzername = *John* Zeigt Ereignisse für alle Benutzernamen an, die John enthalten
    Benutzername = *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden
!= Werte suchen, bei denen die Bedingung nicht zutrifft Country != USA Zeigt Ereignisse für die Länder außer den USA an

Der Operator NOT EQUAL (!=) ist für folgende Dimensionen gültig:

Datenquelle Dimensionen
Zugriffssteuerung Land, Stadt, Aktion, URL, URL-Kategorie, Reputation, Browser, Betriebssystem, Gerät
Content Collaboration Land, Stadt, Client OS
Gateway Phase der Authentifizierung, Client-IP
Virtual Apps and Desktops Land, Stadt, App-Name, Zwischenablage-Betrieb, Browser, OS

Hinweis

Verwenden Sie für den Operator NOT EQUAL bei der Eingabe der Werte für die Dimensionen in Ihrer Abfrage die genauen Werte, die auf der Self-Service-Suchseite für eine Datenquelle verfügbar sind. Bei den Dimensionswerten wird zwischen Groß- und Kleinschreibung

Weitere Informationen zum Angeben der Suchabfrage für die Datenquelle finden Sie im Self-Service-Suchartikel für die Datenquelle, die weiter oben in diesem Artikel erwähnt wird.

Wählen Sie die Zeit für die Anzeige des Ereignisses aus

Wählen Sie eine voreingestellte Zeit aus, oder geben Sie einen benutzerdefinierten Zeitraum ein, und klicken Sie auf Suchen, um die Ereignisse anzuzeigen.

Zeitauswahl

Anzeigen der Timeline-Details

Die Zeitleiste bietet eine grafische Darstellung der Benutzerereignisse für den ausgewählten Zeitraum. Verschieben Sie die Selektorbalken, um den Zeitbereich auszuwählen und die Ereignisse anzuzeigen, die dem ausgewählten Zeitraum entsprechen.

Die Abbildung zeigt Details der Zeitachse für Zugriffsdaten.

Zeitleistendetails

Die Veranstaltung anzeigen

Sie können die detaillierten Informationen zum Benutzerereignis anzeigen. Klicken Sie in der Tabelle DATA auf den Pfeil für jede Spalte, um die Details zum Benutzerereignis anzuzeigen.

Die Abbildung zeigt die Details zu den Zugriffsdaten des Benutzers.

Ereignisse

Spalten hinzufügen oder entfernen

Sie können Spalten entweder aus der Ereignistabelle hinzufügen oder entfernen, um die entsprechenden Datenpunkte ein- oder auszublenden. Führen Sie folgende Schritte aus:

  1. Klicken Sie auf Spalten hinzufügen oder entfernen.

     Update-Ereignisse

  2. Wählen Sie die Datenelemente aus der Liste aus oder heben Sie die Auswahl auf und klicken Sie dann auf Aktualisieren.

    Update-Spalten

Wenn Sie einen Datenpunkt aus der Liste abwählen, wird die entsprechende Spalte aus der Ereignistabelle entfernt. Sie können diesen Datenpunkt jedoch anzeigen, indem Sie die Ereigniszeile für einen Benutzer erweitern. Wenn Sie beispielsweise den TIME Datenpunkt aus der Liste aufheben, wird die Spalte TIME aus der Ereignistabelle entfernt. Um den Zeitdatensatz anzuzeigen, erweitern Sie die Ereigniszeile für einen Benutzer.

Ausgeblendete Attribute

Exportieren der Ereignisse in eine CSV-Datei

Exportieren Sie die Suchergebnisse in eine CSV-Datei und speichern Sie sie als Referenz. Klicken Sie auf In CSV-Format exportieren, um die Ereignisse zu exportieren und die generierte CSV-Datei herunterzuladen.

CSV-Export

Mehrspaltige Sortierung

Die Sortierung hilft bei der Organisation Ihrer Daten und bietet eine bessere Sichtbarkeit. Auf der Self-Service-Suchseite können Sie die Benutzerereignisse nach einer oder mehreren Spalten sortieren. Die Spalten stellen die Werte verschiedener Datenelemente wie Benutzername, Datum und Uhrzeit sowie URL dar. Diese Datenelemente unterscheiden sich je nach den ausgewählten Datenquellen.

Um eine mehrspaltige Sortierung durchzuführen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf Sortieren nach.

    Sortieren nach

  2. Wählen Sie eine Spalte aus der Liste Sortieren nach aus.

  3. Wählen Sie die Sortierreihenfolge - aufsteigend (Pfeil nach oben) oder absteigend (Pfeil nach unten), um die Ereignisse in der Spalte zu sortieren.

  4. Klicken Sie auf + Spalten hinzufügen.

  5. Wählen Sie eine andere Spalte aus der Liste “ Dann nach “ aus.

  6. Wählen Sie die Sortierreihenfolge - aufsteigend (Pfeil nach oben) oder absteigend (Abwärtsfehler), um die Ereignisse in der Spalte zu sortieren.

    Hinweis

    Sie können bis zu sechs Spalten hinzufügen, um die Sortierung durchzuführen.

  7. Klicken Sie auf Apply.

  8. Wenn Sie die vorangehenden Einstellungen nicht anwenden möchten, klicken Sie auf Abbrechen. Um die Werte der ausgewählten Spalten zu entfernen, klicken Sie auf Alle löschen.

Das folgende Beispiel zeigt eine mehrspaltige Sortierung für die Access Control-Ereignisse. Die Ereignisse werden nach Zeit (in letzter zur ältesten Reihenfolge) und dann nach URL (in alphabetischer Reihenfolge) sortiert.

Mehrspaltige Sortierung

Alternativ können Sie eine mehrspaltige Sortierung mit der Umschalttaste durchführen. Drücken Sie die Umschalttaste und klicken Sie auf die Spaltentitel, um die Benutzerereignisse zu sortieren.

So speichern Sie die Self-Service-Suche

Als Administrator können Sie eine Self-Service-Abfrage speichern. Diese Funktion spart Zeit und Mühe beim Umschreiben der Abfrage, die Sie häufig für die Analyse oder Fehlerbehebung verwenden. Die folgenden Optionen werden mit der Abfrage gespeichert:

  • Angewandte Suchfilter
  • Ausgewählte Datenquelle und Dauer

So speichern Sie eine Self-Service-Abfrage:

  1. Wählen Sie die erforderliche Datenquelle und die Dauer aus.

  2. Geben Sie eine Abfrage in die Suchleiste ein.

  3. Wenden Sie die erforderlichen Filter an.

  4. Klicken Sie auf Suche speichern.

  5. Geben Sie den Namen zum Speichern der benutzerdefinierten Abfrage an.

    Hinweis Stellen Sie

    sicher, dass der Abfragename eindeutig ist Andernfalls wird die Abfrage nicht gespeichert.

  6. Klicken Sie auf Save.

So zeigen Sie die gespeicherten Suchenan:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Wählen Sie die Suchanfrage aus.

In diesem Beispiel lautet die Self-Service-Abfrage User-Name = testuser. Und angewendete Filter wie Ereignistyp, Domäneund Plattform werden mit der Abfrage gespeichert.

Self-Service-Suche speichern

So entfernen Sie eine gespeicherte Suche:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Wählen Sie die Suchanfrage aus, die Sie gespeichert haben.

  3. Klicken Sie auf gespeicherte Suche entfernen.

Entfernen der gespeicherten Suche

So ändern Sie eine gespeicherte Suche:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Klicken Sie auf den Namen der Suchanfrage, die Sie gespeichert haben.

  3. Ändern Sie die Suchanfrage oder die Facettenauswahl basierend auf Ihren Anforderungen.

  4. Klicken Sie auf Suche speichern > Ersetzen.

Wenn Sie die Suche durch einen neuen Namen ersetzen, wird die Suche als neuer Eintrag gespeichert. Wenn Sie den vorhandenen Suchnamen beim Ersetzen beibehalten, überschreiben die geänderten Suchdaten die vorhandenen Suchdaten.

Hinweis

  • Nur ein Abfragebesitzer kann seine gespeicherten Suchen ändern oder entfernen.
  • Sie können die gespeicherte Adresse des Suchlinks kopieren, um sie mit einem anderen Benutzer zu teilen.
Self-Service-Suche