Self-Service-Suche

Was ist Self-Service-Suche?

Mit der Self-Service-Suchfunktion können Sie Benutzerereignisse finden und filtern, die von Ihren Datenquellen empfangen wurden. Sie können die zugrunde liegenden Benutzerereignisse und deren Attribute untersuchen. Diese Ereignisse helfen Ihnen, Datenprobleme zu identifizieren und sie zu beheben. Auf der Suchseite werden verschiedene Facetten (Dimensionen) und Metriken für eine Datenquelle angezeigt. Sie können Ihre Suchabfrage definieren und Filter anwenden, um die Ereignisse anzuzeigen, die Ihren definierten Kriterien entsprechen. Standardmäßig werden auf der Self-Service-Suchseite Benutzerereignisse für den letzten Monat angezeigt.

Derzeit ist die Self-Service-Suchfunktion für die folgenden Datenquellen verfügbar:

Außerdem können Sie Self-Service-Suche nach Ereignissen durchführen, die Ihren definierten Richtlinien entsprechen. Weitere Informationen finden Sie unter Self-Service-Suche nach Richtlinien.

So greifen Sie auf die Self-Service-Suche zu

Sie können auf die Self-Service-Suche zugreifen, indem Sie die folgenden Optionen verwenden:

  • Obere Leiste: Klicken Sie in der oberen Leiste auf Suchen, um alle Benutzerereignisse für die ausgewählte Datenquelle anzuzeigen.

  • Risikozeitleiste auf einer Benutzerprofilseite: Klicken Sie auf Ereignissuche, um die Ereignisse für den jeweiligen Benutzer anzuzeigen.

Self-Service-Suche über die obere Leiste

Verwenden Sie diese Option, um von einer beliebigen Stelle in der Benutzeroberfläche zur Self-Service-Suchseite zu wechseln.

  1. Klicken Sie auf Suchen, um die Self-Service-Seite anzuzeigen.

    Suche in der oberen Leiste

  2. Wählen Sie die Datenquelle und den Zeitraum aus, um die entsprechenden Ereignisse anzuzeigen.

    Suchseite der oberen Leiste

Self-Service-Suche über die Risikozeitleiste des Benutzers

Verwenden Sie diese Option, wenn Sie die Benutzerereignisse anzeigen möchten, die einem Risikoindikator zugeordnet sind.

Wenn Sie einen Risikoindikator aus der Zeitleiste eines Benutzers auswählen, wird im rechten Bereich der Risikoindikatorinformationen angezeigt. Klicken Sie auf Ereignissuche, um die Ereignisse zu untersuchen, die dem Benutzer und der Datenquelle (für die der Risikoindikator ausgelöst wird) auf der Self-Service-Suchseite zugeordnet sind.

Risiko-Timeline-Suche

Weitere Informationen zum Zeitplan für das Benutzerrisiko finden Sie unter Risiko-Timeline.

So verwenden Sie die Self-Service-Suche

Verwenden Sie die folgenden Funktionen auf der Self-Service-Suchseite:

Suche erkunden

Verwenden von Facetten zum Filtern von Ereignissen

Facetten sind die Zusammenfassung von Datenpunkten, die ein Ereignis darstellen. Facetten variieren je nach Datenquelle. Zu den Facetten für die Access Control-Datenquelle gehören beispielsweise Reputation, Aktionen, Standort, Kategoriegruppe. Während Facetten für Virtual Apps and Desktops Ereignistyp, Domäne und Plattform umfassen.

Verwenden Sie die Facetten, um die erforderlichen Benutzerereignisse zu filtern und zu fokussieren. Weitere Informationen zu den Facetten, die jeder Datenquelle entsprechen, finden Sie im Self-Service-Suchartikel für die Datenquelle, die weiter oben in diesem Artikel erwähnt wird.

Verwenden der Suchabfrage im Suchfeld zum Filtern von Ereignissen

Wenn Sie den Cursor in das Suchfeld platzieren, wird im Suchfeld eine Liste der Dimensionen angezeigt, die auf den Ereignissen basieren, die von der Datenquelle empfangen werden. Verwenden Sie die Dimensionen, um Ihre Suchkriterien zu definieren und nach den Ereignissen zu suchen.

Bei der Self-Service-Suche nach Zugriff erhalten Sie beispielsweise die folgenden Dimensionen für die Zugriffsereignisse. Geben Sie Ihre Abfrage mithilfe dieser Dimensionen ein, wählen Sie den Zeitraum aus, und klicken Sie dann auf Suchen.

Suchabfrage

Sie können auch die folgenden Operatoren in Ihren Suchanfragen verwenden.

Operator Beschreibung Beispiel Ausgabe
: Zuweisen eines Werts zur Suchabfrage Benutzername: John Zeigt Ereignisse für den Benutzer John an
= Zuweisen eines Werts zur Suchabfrage Benutzername = John Zeigt Ereignisse für den Benutzer John an
~ Ähnliche Werte suchen Benutzername ~ test Zeigt Ereignisse mit ähnlichen Benutzernamen an
”” Werte durch Leerzeichen getrennt einschließen Benutzername = “John Smith” Zeigt Ereignisse für den Benutzer John Smith an
<, > Nach relationalem Wert suchen Datenvolumen > 100 Zeigt Ereignisse an, bei denen Datenvolumen größer als 100 GB ist
UND Suchwerte, bei denen beide Bedingungen zutreffen Benutzername: John UND Datenvolumen > 100 Zeigt Ereignisse des Benutzers John an, bei denen Datenvolumen größer als 100 GB ist
* Suchwerte, die mit dem Zeichen Null oder mehrfach übereinstimmen Benutzername = John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen
    Benutzername = *John* Zeigt Ereignisse für alle Benutzernamen an, die John enthalten
    Benutzername = *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden

Weitere Informationen zum Angeben der Suchabfrage für die Datenquelle finden Sie im Self-Service-Suchartikel für die Datenquelle, die weiter oben in diesem Artikel erwähnt wird.

Wählen Sie die Zeit für die Anzeige des Ereignisses aus

Wählen Sie eine voreingestellte Zeit aus, oder geben Sie einen benutzerdefinierten Zeitraum ein, und klicken Sie auf Suchen, um die Ereignisse anzuzeigen.

Zeitauswahl

Anzeigen der Timeline-Details

Die Zeitleiste bietet eine grafische Darstellung der Benutzerereignisse für den ausgewählten Zeitraum. Verschieben Sie die Selektorbalken, um den Zeitbereich auszuwählen und die Ereignisse anzuzeigen, die dem ausgewählten Zeitraum entsprechen.

Die Abbildung zeigt Details der Zeitachse für Zugriffsdaten.

Zeitleistendetails

Sie möchten beispielsweise die Ereignisse anzeigen, die zwischen dem 08. Juli 2019 und dem 10. Juli 2019 aufgetreten sind. Verwenden Sie die Selektorleisten, um den gewünschten Zeitleistenbereich auszuwählen und die Ereignisse anzuzeigen, die dem ausgewählten Bereich entsprechen.

Auswahlleiste

Die Veranstaltung anzeigen

Sie können die detaillierten Informationen zum Benutzerereignis anzeigen. Klicken Sie auf einen Benutzer, um einen Einblick in seine Daten zu erhalten.

Die Abbildung zeigt die Details zu den Zugriffsdaten des Benutzers.

Ereignisse

Hinzufügen von Spalten in der Ereignistabelle

Sie können Spalten hinzufügen und die Datenpunkte auswählen, die in der Ereignistabelle angezeigt werden sollen. Gehen Sie wie folgt vor:

  1. Klicken Sie auf +, um Spalten für die Datenpunkte hinzuzufügen.

    Weitere Veranstaltungen hinzufügen

  2. Wählen Sie im Fenster Spalten hinzufügen die Datenpunkte aus, und klicken Sie dann auf Spalten hinzufügen .

    Spalten hinzufügen

Wenn Sie einen Datenpunkt aus der Liste Spalten hinzufügen deaktivieren, wird die entsprechende Spalte aus der Ereignistabelle entfernt. Sie können den Datenpunkt jedoch anzeigen, nachdem Sie die Ereigniszeile für einen Benutzer erweitert haben. Wenn Sie z. B. den TIMES-Datenpunkt aus der Liste Spalten hinzufügen deaktivieren, wird die Spalte TIME aus der Ereignistabelle entfernt. Um den Zeitdatensatz anzuzeigen, erweitern Sie die Ereigniszeile für einen Benutzer.

Ausgeblendete Attribute

Exportieren der Ereignisse in eine CSV-Datei

Sie können die gesuchten Ereignisse in eine CSV-Datei exportieren und den Bericht zur späteren Referenz speichern. Klicken Sie auf In CSV-Format exportieren, um die Ereignisse zu exportieren und die generierte CSV-Datei herunterzuladen.

CSV-Export