Mit Korrelation nützliche Informationen ableiten - Security Center 5.10

Security Center – Benutzerhandbuch 5.10

Product
Security Center
Content type
Handbücher > Benutzerhandbücher
Version
5.10
Language
Deutsch
Last updated
2023-06-12

Sie können von externen Quellen importierte Datensätze verwenden, um neue Informationen in Security Center abzuleiten, indem Sie den Untersuchungstask Datensätze verwenden.

Bevor Sie beginnen

Stellen Sie sicher, dass Ihr Systemadministrator Ihnen die erforderlichen Rechte zur Verwendung der von Ihnen benötigten Datensatztypen erteilt hat.

Was Sie noch wissen sollten

Sie können den Untersuchungstask Datensätze verwenden, um die in Security Center registrierten Datensatzanbieter abzufragen und relevante Informationen auf Basis von bekannten oder vermuteten Korrelationen zu finden.

Korrelation bezieht sich auf die Beziehung zwischen zwei Ereignistypen, A und B. Zwischen A und B besteht eine Korrelation, wenn Ereignis A auftritt und dann Ereignis B erwartet wird. Wenn es beispielsweise ein großes Zusammentreffen von Menschen gibt und die Anzahl der COVID-19-Fälle in den darauffolgenden Tagen steigt, können wir sagen, dass es eine Korrelation zwischen großen Menschenansammlungen und neuen Fällen von COVID-19 gibt.

Prozedur

  1. Öffnen Sie auf der Security Desk-Startseite den Task Datensätze.
  2. Klicken Sie auf Datensatztypen und wählen Sie die Datensatztypen aus, die Sie analysieren möchten.
    Angenommen Ihre Datensatztypen entsprechen Ereignistypen, wie Festnahmen oder Diebstähle, dann können Sie testen, ob eine Korrelation zwischen zwei Datensatztypen besteht, indem Sie sie nach einer gemeinsamen Eigenschaft filtern.
    BEMERKUNG: Standardmäßig stehen der Zeitstempel und die Ortseigenschaften immer für die Korrelation zur Verfügung. Die Eigenschaften „Zeitstempel“ und „Standort“ sind die Felder, denen Ihr Systemadministrator die Funktionen Zeitstempel und Standort (oder Breitengrad und Längengrad) zugewiesen hat. Die tatsächlichen Feldnamen können abweichen.
  3. Um Ihre Datensatztypen nach Zeitstempel zu korrelieren, klicken Sie auf den Filter Ereigniszeitstempel und geben Sie einen Datums- oder Uhrzeitbereich an.
    Verwenden Sie diese Option, um die Felder zu filtern, die der Funktion Zeitstempel im Datensatztyp zugewiesen sind. Wenn Ihr Datensatztyp andere Zeitstempelfelder enthält, die nicht der Funktion Zeitstempel zugeordnet sind, müssen Sie diese im Filter Bedingungen angeben.
  4. Um Ihre Datensatztypen nach Standort zu korrelieren, klicken Sie auf den Filter Ort und zeichnen Sie die Regionen, in denen die Daten gefunden oder ausgeschlossen werden müssen.
    1. Klicken Sie auf Bearbeiten.
      Kartenfenster wird geöffnet.
    2. Klicken Sie auf Polygon zeichnen (), um mit dem Zeichnen zu beginnen.
      Klicken Sie einmal auf jeden Endpunkt und klicken Sie auf den ersten Endpunkt, um das Polygon zu schließen.
      Datensatzbericht – Eine Region zeichnen
    3. Klicken und ziehen Sie gegebenenfalls einen Punkt, um die Form des Polygons anzupassen.
    4. Zeichnen Sie bei Bedarf weitere Regionen.
    5. Klicken Sie auf OK, um Ihre Änderungen zu speichern.
    6. Klicken Sie auf Zu Kartenmodus wechseln, um von der Arbeitsfläche in die Kartenanzeige zu wechseln.
      Die als Ortsfilter hinzugefügten Regionen werden grün angezeigt. Nur Datensätze, die in diesen Regionen gefunden wurden, werden als Ergebnisse zurückgegeben.
    7. Um die in diesen Regionen gefundenen Datensätze von den Ergebnissen auszuschließen, wählen Sie die Option Regionen ausschließen aus.
      Die Farbe der Regionen ändert sich in rot.
    Datensatzbericht – Standortfilter
  5. Klicken Sie auf den Filter Bedingungen, um Bedingungen für andere Felder als Zeitstempel und Ort hinzuzufügen.
    Wenn zwei Datensatztypen jeweils ein Feld mit dem gleichen Namen und Datentyp haben, werden Bedingungen, die auf ein Feld angewendet werden, auch auf das andere angewendet. Wenn Sie eine Bedingung für ein Feld hinzufügen, das in einigen Datensatztypen nicht vorhanden ist, werden diese Datensatztypen nicht auf Basis dieser Bedingung gefiltert.
    1. Klicken Sie unter dem Filter Bedingungen auf Einen Eintrag hinzufügen ().
      Das Dialogfeld Bedingung wird geöffnet.
    2. Klicken Sie auf den Datensatztyp und das Feld, das Sie filtern möchten.
      Datensatzbericht – Eine Bedingung hinzufügen
    3. Wählen Sie einen Vergleichsoperator und einen Wert aus und klicken Sie dann auf Hinzufügen.
      BEMERKUNG: Geben Sie Zeichenfolgenwerte ohne doppelte Anführungszeichen ein.

      Geben Sie für die Operatoren In und Nicht in eine Liste der durch Kommas getrennten Werte ein, ohne nach dem Komma ein Leerzeichen einzufügen. Ein Leerzeichen ist nur dann einzufügen, wenn es Teil des Werts ist, mit dem Sie den Abgleich durchführen möchten.

      Geben Sie für den Mustervergleichsoperator den Wert als regulären Ausdruck ein.
      • Klicken Sie auf Optionen für übereinstimmende Muster > Allgemein, um eine Liste der am häufigsten verwendeten Metazeichen anzuzeigen.
      • Klicken Sie auf Optionen für übereinstimmende Muster > ALPR, um ein von Ihnen eingegebenes Nummernschild in einen regulären Ausdruck für übereinstimmende OCR-äquivalente Zeichen umzuwandeln, wie „8“ und „B“, „1“ und „I“, „0“ und „O“ und „D“.
      Die Bedingung wird dem Filter Bedingungen hinzugefügt.
    4. Fügen Sie nach Bedarf weitere Bedingungen für dasselbe oder andere Felder hinzu.
  6. Wählen Sie die Spalten aus, die in Ihrem Bericht angezeigt werden sollen.
    Standardmäßig sind sechs Spalten enthalten:
    ID
    Entspricht den Feldern, die der Funktion ID zugewiesen sind.
    Datensatztyp
    Der Name des Datensatztyps, zu dem der Datensatz gehört.
    Zeitstempel
    Entspricht den Feldern, die der Funktion Zeitstempel zugewiesen sind und für den Filter Ereigniszeitstempel verwendet wurden.
    Breitengrad, Längengrad
    Diese beiden Spalten entsprechen den Feldern, die den Funktionen Ort (oder Breitengrad und Längengrad) zugewiesen sind, und werden für den Filter Ort verwendet.
    Rolle
    Der Name der Rolle, die den Datensatztyp.
    Einige Feldnamen sind nicht verfügbar, da sie in ihrem jeweiligen Datensatztyp jeweils einen anderen Namen haben können. Sie können dem Bericht nach Bedarf Spalten hinzufügen oder sie daraus entfernen.
    BEMERKUNG: Felder mit demselben Namen und Typ gelten in allen Datensatztypen als identisch und können nur einmal in den Bericht aufgenommen werden.
  7. Klicken Sie auf Bericht erstellen.
    Die Abfrageergebnisse werden im Berichtsbereich angezeigt.
  8. Klicken Sie doppelt auf eine Zeile, um sie in einer Kachel auf der Arbeitsfläche anzuzeigen.
    Datensatzbericht – In Kacheln angezeigte Ergebnisse
  9. Wenn die Datensatztypen georeferenziert sind, klicken Sie auf Zu Kartenmodus wechseln, um die Ergebnisse auf der Karte anzuzeigen.
  10. Klicken Sie auf ein Kartenobjekt eines Datensatztyps, um die Informationsblase mit den Details des Datensatzes zu öffnen.