Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erkenntnisgruppen analysieren
Mithilfe von Amazon-Detective-Erkenntnisgruppen können Sie mehrere Aktivitäten untersuchen, da sie sich auf ein potenzielles Sicherheitsereignis beziehen. Eine Ergebnisgruppe in Amazon Detective wird erstellt, wenn Detective ein Muster oder eine Beziehung zwischen mehreren Ergebnissen erkennt, die darauf hindeuten, dass sie mit demselben potenziellen Sicherheitsvorfall zusammenhängen. Diese Gruppierung hilft dabei, verwandte Ergebnisse effizienter zu verwalten und zu untersuchen.
Mithilfe von Findungsgruppen können Sie die Ursache für GuardDuty Befunde mit hohem Schweregrad analysieren. Wenn ein Bedrohungsakteur versucht, Ihre AWS Umgebung zu kompromittieren, führt er in der Regel eine Abfolge von Aktionen durch, die zu mehreren Sicherheitsergebnissen und ungewöhnlichem Verhalten führen. Diese Aktionen sind häufig über mehrere Zeiträume und Entitäten verteilt. Wenn Sicherheitserkenntnisse isoliert untersucht werden, kann dies zu einer Fehlinterpretation ihrer Bedeutung und zu Schwierigkeiten bei der Suche nach der Ursache führen. Amazon Detective löst dieses Problem, indem es eine Diagrammanalysetechnik anwendet, die Beziehungen zwischen Erkenntnissen und Entitäten ableitet und diese gruppiert. Wir empfehlen, Erkenntnisgruppen als Ausgangspunkt für die Untersuchung der beteiligten Entitäten und Erkenntnisse zu verwenden.
Detective analysiert Daten aus Erkenntnissen und gruppiert sie mit anderen Erkenntnissen, die aufgrund der gemeinsamen genutzten Ressourcen wahrscheinlich verwandt sind. Beispielsweise sind Erkenntnisse in Zusammenhang mit Aktionen, die von denselben IAM-Rollensitzungen ausgeführt wurden oder von derselben IP-Adresse stammen, sehr wahrscheinlich Teil derselben zugrunde liegenden Aktivität. Es ist ratsam, Erkenntnisse und Beweise als Gruppe zu untersuchen, auch wenn die von Detective gemachten Assoziationen nicht miteinander zusammenhängen.
Suchgruppen werden auf der Grundlage der folgenden Kriterien erstellt.
+ Zeitliche Nähe — Ergebnisse, die innerhalb eines engen Zeitrahmens auftreten, werden häufig zu Gruppen zusammengefasst, da sie sich wahrscheinlich auf dasselbe Ereignis beziehen.
+ Gemeinsame Entitäten — Ergebnisse, die dieselben Entitäten betreffen, wie IP-Adressen, Benutzer oder Ressourcen, werden gruppiert. Dies hilft dabei, das Ausmaß des Vorfalls in verschiedenen Teilen der Umgebung besser zu verstehen.
+ Muster und Verhalten — Detective analysiert Muster und Verhaltensweisen in den Ergebnissen, z. B. ähnliche Arten von Angriffen oder verdächtige Aktivitäten, um Zusammenhänge zu ermitteln und sie entsprechend zu gruppieren.
+ Taktiken, Techniken und Verfahren (TTPs) — Ergebnisse, die Ähnlichkeiten aufweisen TTPs, wie sie in Frameworks wie MITRE ATT&CK beschrieben sind, werden zusammengefasst, um potenzielle koordinierte Angriffe aufzuzeigen.
Diese Kriterien tragen dazu bei, den Ermittlungsprozess zu rationalisieren, sodass Sie sich auf korrelierte Ergebnisse konzentrieren können, die wahrscheinlich auf denselben Sicherheitsvorfall zurückzuführen sind.
Neben den Erkenntnissen umfasst jede Gruppe auch Einrichtungen, die von den Erkenntnissen betroffen sind. Die Entitäten können externe Ressourcen AWS wie IP-Adressen oder Benutzeragenten enthalten.
**Anmerkung**
Nach einem ersten GuardDuty Befund, der mit einem anderen Befund zusammenhängt, wird innerhalb von 48 Stunden die Ergebnisgruppe mit allen zugehörigen Ergebnissen und allen beteiligten Entitäten erstellt.
# Grundlegendes zur Seite „Erkenntnisgruppen“
Auf der Seite „Suchgruppen“ werden alle Suchgruppen aufgeführt, die Amazon Detective anhand Ihres Verhaltensdiagramms gesammelt hat. Beachten Sie beim Auffinden von Gruppen die folgenden Eigenschaften:
**Schweregrad einer Gruppe**
Jeder Ergebnisgruppe wird ein Schweregrad zugewiesen, der auf dem ASFF-Schweregrad (AWS Security Finding Format) der zugehörigen Ergebnisse basiert. Die Schweregradwerte der ASFF-Erkenntnisse lauten **Kritisch**, **Hoch**, **Mittel**, **Niedrig** oder **Informativ**, vom höchsten bis zum geringsten Schweregrad. Der Schweregrad einer Gruppierung entspricht der Erkenntnis mit dem höchsten Schweregrad unter den Erkenntnissen in dieser Gruppierung.
Gruppen, die aus Erkenntnissen mit **kritischem** oder **hohem** Schweregrad bestehen, die sich auf eine große Anzahl von Entitäten auswirken, sollten bei Untersuchungen bevorzugt werden, da es sich bei ihnen eher um Sicherheitsprobleme mit schwerwiegenden Auswirkungen handelt.
**Gruppentitel**
In der **Titelspalte** hat jede Gruppe eine eindeutige ID und einen nicht eindeutigen Titel. Diese basieren auf dem ASFF-Namespace für die Gruppe und der Anzahl der Erkenntnisse innerhalb dieses Namespaces im Cluster. Wenn eine Gruppierung beispielsweise den Titel: Gruppe mit: **TTP (2), Effekt (1) und Ungewöhnlichem Verhalten (2),** umfasst sie insgesamt fünf Erkenntnisse, bestehend aus zwei Erkenntnisse im **TTP-Namespace**, einer Erkenntnis im **Effekt-Namespace** und zwei Erkenntnissen im Namespace **Ungewöhnliches Verhalten**. [Eine vollständige Liste der Namespaces finden Sie unter Typen-Taxonomie für ASFF.](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html)
**Taktiken in einer Gruppe**
In der Spalte **Taktiken** in einer Gruppe wird angegeben, in welche Taktikkategorie die Aktivität fällt. Die Kategorien Taktiken, Techniken und Verfahren in der folgenden Liste entsprechen der [MITRE ATT&CK-Matrix](https://attack.mitre.org/matrices/enterprise/).
Sie können eine Taktik in der Kette auswählen, um eine Beschreibung der Taktik zu erhalten. Unter der Kette befindet sich eine Liste der innerhalb der Gruppe erkannten Taktiken. Diese Kategorien und die Aktivitäten, für die sie typischerweise stehen, lauten wie folgt:
+ **Erster Zugriff** – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen.
+ **Ausführung** – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen.
+ **Beharrlichkeit** – Ein Angreifer versucht, seine Stellung zu halten.
+ **Eskalation von Rechten** – Ein Angreifer versucht, Berechtigungen auf höherer Ebene zu erlangen.
+ **Umgehung der Verteidigung** – Ein Angreifer versucht zu vermeiden, entdeckt zu werden.
+ **Zugriff auf Anmeldeinformationen** – Ein Angreifer versucht, Kontonamen und Passwörter zu stehlen.
+ **Entdeckung** – Ein Angreifer versucht, eine Umgebung zu verstehen und etwas über sie zu erfahren.
+ **Seitliche Bewegung** – Ein Angreifer versucht, sich in einer Umgebung zu bewegen.
+ **Erfassung** – Ein Angreifer versucht, Daten zu sammeln, die für sein Ziel von Interesse sind.
+ **Befehl und Steuerung** – Ein Angreifer versucht, in das Netzwerk einer anderen Person einzudringen.
+ **Exfiltration** – Ein Angreifer versucht, Daten zu stehlen.
+ **Auswirkung** – Ein Angreifer versucht, Ihre Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören.
+ **Andere** – Weist auf eine Aktivität aufgrund einer Erkenntnis hin, das nicht mit den in der Matrix aufgeführten Taktiken übereinstimmt.
**Entitäten innerhalb einer Gruppe**
Die Spalte **Entitäten** enthält Details zu den spezifischen Entitäten, die innerhalb dieser Gruppierung erkannt wurden. Wählen Sie diesen Wert für eine Aufschlüsselung der Entitäten auf Grundlage der Kategorien: **Identität**, **Netzwerk**, **Speicher** und **Datenverarbeitung**. Beispiele für Entitäten in jeder Kategorie sind:
+ **Identität** — IAM-Prinzipale und AWS-Konten, wie Benutzer und Rolle
+ **Netzwerk** – IP-Adresse oder andere Netzwerk- und VPC-Entitäten
+ **Speicher** — Amazon S3 S3-Buckets oder DDBs
+ EC2 Amazon-Instances oder Kubernetes-Container **berechnen**
**Konten innerhalb einer Gruppe**
In der Spalte **Konten** erfahren Sie, welche AWS Konten Entitäten besitzen, die an den Ergebnissen in der Gruppe beteiligt waren. Die AWS Konten sind nach Namen und AWS ID aufgelistet, sodass Sie Untersuchungen von Aktivitäten, die kritische Konten betreffen, priorisieren können.
**Erkenntnisse innerhalb einer Gruppe**
In der Spalte **Erkenntnisse** werden die Entitäten innerhalb einer Gruppe nach Schweregrad aufgelistet. Zu den Ergebnissen gehören GuardDuty Ergebnisse von Amazon, Amazon Inspector,AWS Sicherheitserkenntnisse und Beweise von Detective. Sie können das Diagramm auswählen, um eine genaue Anzahl der Erkenntnisse nach Schweregrad anzuzeigen.
GuardDuty Die Ergebnisse sind Teil des Detective-Kernpakets und werden standardmäßig aufgenommen. Alle anderen AWS Sicherheitsergebnisse, die von Security Hub CSPM aggregiert werden, werden als optionale Datenquelle aufgenommen. Weitere Informationen finden Sie unter [In einem Verhaltensdiagramm verwendete Quelldaten](https://docs.aws.amazon.com//detective/latest/userguide/detective-source-data-about.html).
# Informative Erkenntnisse in Erkenntnisgruppen
Amazon Detective identifiziert zusätzliche Informationen zu einer Erkenntnisgruppe auf der Grundlage von Daten in Ihrem Verhaltensdiagramm, die in den letzten 45 Tagen gesammelt wurden. Detective präsentiert diese Informationen als Erkenntnis mit dem Schweregrad **Information**. Beweise liefern unterstützende Informationen, die auf eine ungewöhnliche Aktivität oder ein unbekanntes Verhalten hinweisen, das möglicherweise verdächtig ist, wenn es innerhalb einer Erkenntnisgruppe betrachtet wird. Dazu können neu beobachtete Geolocations oder API-Aufrufe gehören, die innerhalb des Zeitraums einer Erkenntnis beobachtet wurden. Beweisergebnisse sind nur in Detective sichtbar und werden nicht an diese gesendet AWS Security Hub CSPM.
Detective bestimmt den Standort von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art des geistigen Eigentums variiert. Weitere Informationen MaxMind dazu finden Sie unter [MaxMind IP-Geolokalisierung](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, können Sie unter [MaxMind Correct Geo IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data eine Korrekturanfrage an Maxmind stellen.
Sie können Beweise für verschiedene Haupttypen (z. B. IAM-Benutzer oder IAM-Rolle) beobachten. Bei einigen Arten von Nachweisen können Sie Beweise für **alle** Konten beobachten. Das bedeutet, dass sich Beweise auf Ihr gesamtes Verhaltensdiagramm auswirken. Wenn für alle Konten Beweiserkenntnisse festgestellt werden, wird Ihnen außerdem mindestens ein zusätzliches informatives Beweismittel desselben Typs für eine einzelne IAM-Rolle angezeigt. Wenn Sie beispielsweise die Suche **Neue Geolokalisierung für alle Konten beobachtet** sehen, wird Ihnen eine weitere Option für **Neue Geolokalisierung für einen Prinzipal** angezeigt.
****Arten von Beweisen in Erkenntnisgruppen****
+ Neue Geolocation beobachtet
+ Neue Autonomous System Organization (ASO) beobachtet
+ Neuer Benutzer-Agent beobachtet
+ Ein neuer API-Aufruf ausgelöst
+ Für alle Konten wurde eine neue Geolocation beobachtet
+ Für alle Konten wurde ein neuer IAM-Prinzipal beobachtet
# Gruppenprofile finden
Wenn Sie einen Gruppentitel auswählen, wird ein Suchgruppenprofil mit zusätzlichen Details zu dieser Gruppe geöffnet. Der Detailbereich auf der Profilseite für Erkenntnisgruppen unterstützt die Anzeige von bis zu 1.000 Entitäten und Erkenntnissen für Erkenntnisgruppen (über- und untergeordnet).
Auf der Seite mit dem Gruppenprofil wird der eingestellte **Zeitbereich** der Gruppe angezeigt. Dies ist das Datum und die Uhrzeit vom frühesten Befund oder Nachweis in der Gruppe bis zum letzten aktualisierten Befund oder Nachweis in einer Gruppe. Sie können auch den **Schweregrad der Erkenntnisgruppe** sehen, der der Kategorie mit dem höchsten Schweregrad unter den Erkenntnissen in der Gruppe entspricht. Zu den weiteren Details in diesem Profilbereich gehören:
+ Die Kette **Involvierte Taktiken** zeigt Ihnen, welche Taktiken auf die Erkenntnisse in der Gruppe zurückzuführen sind. Die Taktiken basieren auf der [MITRE ATT&CK Matrix für Unternehmen](https://attack.mitre.org/matrices/enterprise/). Die Taktiken werden als eine Kette von farbigen Punkten dargestellt, die den typischen Verlauf eines Angriffs von der frühesten bis zur letzten Phase darstellt. Das bedeutet, dass die Kreise ganz links in der Kette in der Regel für weniger schwerwiegende Aktivitäten stehen, bei denen ein Angreifer versucht, Zugriff auf Ihre Umgebung zu erlangen oder aufrechtzuerhalten. Umgekehrt sind Aktivitäten auf der rechten Seite am schwerwiegendsten und können Datenmanipulation oder -vernichtung beinhalten.
+ Die Beziehungen, die diese Gruppe zu anderen Gruppen unterhält. Gelegentlich können eine oder mehrere Erkenntnisgruppen, die zuvor keinen Zusammenhang hatten, auf der Grundlage eines neu entdeckten Zusammenhangs zu einer neuen Gruppe zusammengeführt werden, z. B., wenn es sich um eine Erkenntnis handelt, an der Entitäten aus den vorhandenen Gruppen beteiligt sind. In diesem Fall deaktiviert Amazon Detective die übergeordneten Gruppen und erstellt eine untergeordnete Gruppe. Sie können die Herkunft jeder Gruppe bis zu ihren übergeordneten Gruppen zurückverfolgen. Gruppen können die folgenden Beziehungen haben:
+ **Erkenntnisgruppe untergeordnet** – Eine Erkenntnisgruppe, die erstellt wird, wenn ein Befund, der in zwei anderen Erkenntnisgruppen enthalten ist, in eine neue Erkenntnis involviert ist. Die übergeordneten Erkenntnisgruppen werden für jede untergeordnete Gruppe aufgeführt.
+ **Erkenntnisgruppe übergeordnet** – Eine Erkenntnisgruppe ist eine übergeordnete Gruppe, wenn aus ihr eine untergeordnete Gruppe erstellt wurde. Handelt es sich bei der Erkenntnisgruppe um eine übergeordnete Gruppe, werden die zugehörigen untergeordneten Gruppen zusammen mit ihr aufgeführt. Der Status einer übergeordneten Gruppe wird **inaktiv**, wenn sie zu einer **aktiven** untergeordneten Gruppe zusammengeführt wird.
Es gibt zwei Informationsregisterkarten, über die Profilbereich geöffnet werden. Auf den Registerkarten **Beteiligte Entitäten** und **Beteiligte Erkenntnisse** können Sie weitere Details zur Gruppe einsehen.
Verwenden Sie **Untersuchung durchführen**, um einen Untersuchungsbericht zu erstellen. Der generierte Bericht beschreibt ein ungewöhnliches Verhalten, das auf eine Beeinträchtigung hindeutet.
## Profil innerhalb von Gruppen
**Beteiligte Entitäten**
Konzentriert sich auf die Entitäten in der Erkenntnisgruppe, einschließlich der Erkenntnisse innerhalb der Gruppe, mit denen die einzelnen Entitäten verknüpft sind. Die jeder Entität angehängten Tags werden ebenfalls angezeigt, sodass Sie wichtige Entitäten anhand der Kennzeichnung schnell identifizieren können. Wählen Sie eine Entität aus, um ihr Entitätsprofil anzuzeigen.
**Involvierte Erkenntnisse**
Enthält Einzelheiten zu jeder Erkenntnis, einschließlich des Schweregrads der Erkenntnis, jeder beteiligten Entität und wann die Erkenntnis zum ersten und letzten Mal festgestellt wurde. Wählen Sie einen Befundtyp in der Liste aus, um einen Bereich mit den Erkenntnisdetails mit zusätzlichen Informationen zu diesem Erkenntnis zu öffnen. Im Bereich **Involvierte Erkenntnisse** werden Ihnen möglicherweise **Informative Erkenntnisse** angezeigt, die auf Erkenntnissen von Detective aus Ihrem Verhaltensdiagramm basieren.
# Visualisierung von Erkenntnisgruppen
Amazon Detective bietet eine interaktive Visualisierung von Erkenntnisgruppen. Diese Visualisierung soll Ihnen helfen, Probleme schneller und gründlicher mit weniger Aufwand zu untersuchen. Im Bereich **Visualisierung von Erkenntnisgruppen** werden die Erkenntnisse und Entitäten angezeigt, die an einer Erkenntnisgruppe beteiligt sind. Sie können diese interaktive Visualisierung verwenden, um die Auswirkungen der Erkenntnisgruppe zu analysieren, zu verstehen und zu bewerten. In diesem Bereich können Sie die Informationen in den Tabellen **Involvierte Entitäten** und **Involvierte Erkenntnisse** visualisieren. In der visuellen Präsentation können Sie Erkenntnisse oder Entitäten für die weitere Analyse auswählen.
Erkenntnisgruppen in Detective mit aggregierten Erkenntnissen sind eine Gruppe von Erkenntnissen, die mit derselben Art von Ressource verknüpft sind. Mit aggregierten Erkenntnissen können Sie schnell die Zusammensetzung einer Erkenntnisgruppe einschätzen und Sicherheitsprobleme schneller interpretieren. Im Bereich mit den Details zu den Erkenntnisgruppen werden ähnliche Erkenntnisse kombiniert, und Sie können die Erkenntnisse erweitern, um relativ ähnliche Erkenntnisse w zusammen anzuzeigen. Beispiel: Ein Evidenzknoten, in dem informative Erkenntnisse und mittlerere Erkenntnisse desselben Typs zusammengefasst sind. Derzeit können Sie Titel, Quelle, Art und Schweregrad von Erkenntnisgruppen mit aggregierten Erkenntnissen anzeigen.
In diesem interaktiven Bereich können Sie:
+ Verwenden Sie **Untersuchung durchführen**, um einen Untersuchungsbericht zu erstellen. Der generierte Bericht beschreibt anomales Verhalten, das auf eine Gefährdung hindeutet. Weitere Informationen finden Sie unter [Detective Investigations](https://docs.aws.amazon.com//detective/latest/userguide/investigations-about.html).
+ Hier finden Sie weitere Informationen zur Suche nach Gruppen mit aggregierten Erkenntnissen, um die beteiligten Beweise, Entitäten und Erkenntnisse zu analysieren.
+ Sehen Sie sich die Bezeichnungen der Entitäten und Erkenntnisse an, um die betroffenen Entitäten mit potenziellen Sicherheitsproblemen zu identifizieren. Sie können das **Label** deaktivieren.
+ Ordnen Sie die Entitäten und Erkenntnisse neu an, um ihre Zusammenhänge besser zu verstehen. Isolieren Sie Entitäten und Erkenntnisse aus einer Gruppe, indem Sie das ausgewählte Element in der Erkenntnisgruppe verschieben.
+ Wählen Sie die Beweise, Entitäten und Erkenntnisse aus, um weitere Details zu ihnen anzuzeigen. Wählen Sie zur Auswahl mehrerer Elemente **command/control** und die Elemente aus oder verschieben Sie sie per Drag-and-Drop mit dem Mauszeiger.
+ Passen Sie das Layout so an, dass alle Entitäten und Erkenntnisse in das Erkenntnisgruppenfenster passen. Sehen Sie sich an, welche Entitätstypen in einer Erkenntnisgruppe vorherrschen.
**Anmerkung**
Der Bereich **Visualisierung** für Erkenntnisgruppen unterstützt die Anzeige von Erkenntnisgruppen mit bis zu 100 Entitäten und Erkenntnissen.
Sie können die Drop-down-Liste verwenden, um die Ergebnisse und Objekte in einem **radialen**, **kreisförmigen**, **kraftgerichteten** oder **Rasterlayout** anzuzeigen. Das **radiale** Layout bietet eine verbesserte Visualisierung für eine einfachere Dateninterpretation. Beim Layout **Kraftgesteuert** werden die Entitäten und Erkenntnisse so positioniert, dass die Links eine gleichbleibende Länge zwischen den Elementen haben und gleichmäßig verteilt sind. Dies trägt dazu bei, Überlappungen zu reduzieren. Das von Ihnen gewählte Layout definiert die Platzierung der Erkenntnisse im Bereich **Visualisierung**.
## Layout der Zeitleiste
Das Timeline-Layout bietet eine dynamische Möglichkeit, um zu visualisieren, wie sich Ihre Suchgruppen im Laufe der Zeit entwickeln. Auf diese Weise können Sie den Verlauf von Ereignissen verfolgen und mithilfe von Detective die Reihenfolge und die potenzielle Kausalität von Sicherheitsvorfällen besser verstehen.
Verwenden Sie den Zeitleisten-Schieberegler am unteren Rand des Visualisierungsfensters, um einen bestimmten Zeitpunkt auszuwählen. Die Visualisierung wird aktualisiert und zeigt den aktuellen Status Ihrer Ergebnisgruppe an. Die Play-Schaltfläche, mit der Sie automatisch in der Timeline voranschreiten können. Klicken Sie auf die Play-Schaltfläche, um die Animation zu starten. Die Visualisierung wird in Echtzeit aktualisiert und zeigt, wie sich die Ergebnisgruppe im Laufe der Zeit verändert. Verwenden Sie die Pause-Taste, um die Animation an einem beliebigen Punkt zu beenden.
Sie können Ergebnisse jetzt mithilfe der Dropdownliste Filter nach ihrem Schweregrad filtern. Wenn Sie einen Filter anwenden, wird die Visualisierung aktualisiert und zeigt nur die Ergebnisse an, die dem ausgewählten Schweregrad entsprechen. Der Filter wirkt sich nur auf die Ergebnisse aus, die in der Zeitleiste angezeigt werden, nicht auf die vollständige Finding Group-Visualisierung. Auf diese Weise können Sie sich schnell auf Probleme mit hoher Priorität konzentrieren oder bestimmte Arten von Ergebnissen untersuchen.
Sie können die Filterfunktion in Kombination mit dem Timeline-Layout verwenden, um zu sehen, wie Ergebnisse mit unterschiedlichen Schweregraden entstehen und sich im Laufe der Zeit entwickeln.
**Verbesserter Arbeitsablauf bei der Untersuchung**
Mit dem zusätzlichen Timeline-Layout und den Filterfunktionen können Sie jetzt noch umfassendere Untersuchungen durchführen:
1. Sehen Sie sich zunächst die gesamte Ergebnisgruppe mithilfe eines der statischen Layouts an (Radial, Circle, Force-directed oder Grid).
1. Verwenden Sie Zeitpläne, um zu verstehen, wie sich die Situation im Laufe der Zeit entwickelt hat.
1. Verwenden Sie die Play-Taste, um automatisch durch die Timeline zu blättern und nach wichtigen Momenten oder Mustern Ausschau zu halten.
1. Machen Sie an wichtigen Stellen eine Pause, um weitere Informationen zu erhalten.
1. Wenden Sie Filter an, um sich auf Ergebnisse mit bestimmten Schweregraden zu konzentrieren.
1. Verwenden Sie die Tastenkombinationen und Auswahlwerkzeuge, um sich eingehender mit Entitäten und Ergebnissen zu befassen, die für Sie von Interesse sind.
Dieser verbesserte Arbeitsablauf ermöglicht eine differenziertere und gründlichere Untersuchung komplexer Sicherheitsszenarien. Sie können effizientere und effektivere Sicherheitsuntersuchungen durchführen, was zu einer schnelleren Behebung von Vorfällen und einer insgesamt verbesserten Sicherheitslage führt.
## Tastenkombinationen
Sie können die folgenden Tastenkombinationen verwenden, um mit dem Bereich „Visualisierung der Suchgruppe“ zu interagieren:
+ Klicken — Wählt einen einzelnen Knoten aus, deaktiviert die Auswahl aller anderen Knoten und hebt die Auswahl aller Knoten auf, wenn auf Leerraum geklickt wird.
+ Strg \$1 Klick — Wählt einen einzelnen Knoten aus, hebt die Auswahl anderer Knoten nicht auf.
+ Ziehen — Schwenkt die Ansicht.
+ Strg \$1 Ziehen — Mit dem Auswahlrahmen werden andere Knoten ausgewählt, ihre Auswahl jedoch nicht aufgehoben.
+ Shift \$1 Ziehen — Mit dem Auswahlrahmen werden alle anderen Knoten ausgewählt bzw. deren Auswahl aufgehoben.
+ Pfeiltasten — Ändert den Fokus zwischen den Knoten.
+ Strg \$1 Leertaste — Wählt den aktuell fokussierten Knoten aus oder deaktiviert ihn.
+ Shift \$1 Pfeiltasten — Ändert den Fokus zwischen den Knoten und wählt sie aus.
Die dynamische **Legende** ändert sich je nach Entitäten und Erkenntnissen in Ihrem aktuellen Diagramm. Sie hilft Ihnen zu identifizieren, wofür jedes visuelle Element steht.