Verwenden der Zeitleiste im Untersuchungs-Canvas

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Die Zeitleistenfunktion des Untersuchungs-Canvas im Threat Intelligence-Sicherheitszentrum (TISC) ermöglicht es Analysten, Zeitleistenereignisse zu visualisieren, zu erstellen und zu bearbeiten, die Entitäten während Untersuchungen zugeordnet sind. Diese Fähigkeit verbessert die Effektivität temporärer Analysen erheblich.

    Vorbereitungen

    Diese Funktionalität optimiert den Analyseprozess, indem die Ereignisse in einer chronologischen Ansicht dargestellt werden. Außerdem unterstützt sie eine schnelle Entscheidungsfindung und eine effizientere Reaktion auf Bedrohungen.

    Erforderliche Rolle: sn_sec_tisc.Analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Wählen Sie aus Workbench Für Bedrohungsanalysen Symbol.
    3. Gehe zu Untersuchungs-Canvase > Alle Canvasean.
    4. Wählen Sie einen beliebigen Canvas-Datensatz aus.
      Eine andere Option zum Navigieren zu einem Canvas-Datensatz stammt aus einem Fall, der im folgenden Schritt erläutert wird.
    5. Wahlweise: Gehe zu Fallverwaltung > Alle Fällean.
    6. Wahlweise: Öffnen Sie einen beliebigen Falldatensatz.
      Hinweis:
      Beim Erstellen eines Falls müssen Sie entweder eine Canvas erstellen oder eine vorhandene verknüpfen. Nach der Verknüpfung sind die Canvas-Aktionen einschließlich der Option zum Hinzufügen einer Zeitleiste automatisch in der Anwenderoberfläche verfügbar.
    7. Wechseln Sie zu Untersuchungs-Canvas Abschnitt im ausgewählten Canvas-Datensatz.
    8. Wählen Sie aus Zeitleiste Anzeigen Zeitleiste anzeigenUmschaltsymbol, um den Zeitleistenabschnitt anzuzeigen.

      Der Zeitleistenabschnitt ist ausgeblendet, und Sie müssen sicherstellen, dass Sie auswählen Zeitleiste Anzeigen Option.

      Abbildung : 1. Zeitleistensymbol im Untersuchungs-Canvas anzeigen
      Zeitleisten-Umschalter im Untersuchungs-Canvas anzeigen

      Der folgende Screenshot veranschaulicht die Zeitleistenkomponenten im Untersuchungs-Canvas:

      Komponentennummer Komponentenname Beschreibung
      01 Bereichsindikator Stellt ein Ereignis dar, das derzeit oder zuvor während des bestimmten Zeitraums auftritt.
      02 Ereignisindikator Anmerkungszeile, die den spezifischen Moment eines Ereignisses während des bestimmten Zeitraums darstellt
      03 Symbol Visuelle Darstellung eines bestimmten Ereignistyps
      04 Pop-over Ein Popover wird angezeigt, wenn Sie die Zeitleiste auswählen. Ein Tooltip wird angezeigt, wenn Anwender den Mauszeiger über die Zeitleiste bewegen.
      05 Gruppierte Ereignisse Wird automatisch angezeigt, wenn mindestens zwei Ereignisse visuell gruppiert werden, da sie in der aktuellen Ansicht zu nah positioniert sind.
      06 Steuerung „Verkleinern“ Verschiebt die Zeitleistenansicht zu früheren Zeiten und Ereignissen auf der Zeitleiste
      07 Steuerung vergrößern Verschiebt die Zeitleistenansicht zu späteren Zeiten und Ereignissen auf der Zeitleiste
      08 Rückwärts-Steuerung der Zeitleiste Wechselt rückwärts durch die Zeit und zeigt denselben Zeitbereich wie die aktuelle Ansicht an
      09 Legendensteuerung Dropdown, in dem die Legende angezeigt und ausgeblendet wird
      10 Zeitleistenbezeichnungen Datumsbezeichnungen, die sich dynamisch ändern oder aktualisieren, um den Abschnitt der angezeigten Zeitleiste widerzuspiegeln
      11 Weiterleitungssteuerung der Zeitleiste Bewegt sich durch die Zeit vorwärts und zeigt denselben Zeitbereich wie die aktuelle Ansicht an.
      12 Startdatum Startdatum und -Uhrzeit, zu der das Ereignis für einen Fall geöffnet wurde.
      13 Enddatum Enddatum und -Uhrzeit, zu der das Ereignis geschlossen wird. Die Zeit wird durch die Anzahl der Minuten und Stunden angezeigt.

      Zeitleistenereignisse

    9. Wählen Sie aus Startdatum Und Enddatum .
    10. Wählen Sie Aus Anwenden Zum Anwenden der Änderungen oder Zurücksetzen Zum Zurücksetzen, wenn Sie eine andere Zeitleiste auswählen müssen.

      Die Canvas kann mehrere Ereignisse enthalten. Um sich auf ein bestimmtes Ereignis oder eine Teilmenge von Ereignissen innerhalb eines bestimmten Zeitraums zu konzentrieren, legen Sie den gewünschten Datumsbereich fest, und klicken Sie auf Anwenden .

      Nach der Anwendung wird die Zeitleistenansicht vergrößert, um nur die gefilterten Ereignisse anzuzeigen, was eine fokussierte Analyse und eine einfachere Untersuchung relevanter Aktivitäten ermöglicht.

      Aus Canvas-Perspektive kann jeder Knoten mehrere Ereignisse haben. Wählen Sie den Knoten aus, und klicken Sie mit der rechten Maustaste auf den Knoten, um ihn auszuwählen Details Anzeigen Oder Datensatz Öffnen , Die Anwendung zeigt die Formularansicht dieses Datensatzes an.

      Canvas zeigt Knotendetails an

      Navigieren Sie darüber hinaus innerhalb des Formulars zu Zugehörige Datensätze Abschnitt, in dem ein Eintrag aufgerufen wurde Zeitleistenereignisse Wurde hinzugefügt. Dies bietet eine detaillierte Ansicht aller Zeitleistenereignisse, die diesem bestimmten Knoten zugeordnet sind, und verknüpft die Canvas-Visualisierung.

      Zugehörige Datensätze: Zeitleistenereignisse

      Innerhalb von Zeitleistenereignisse Abschnitt können Sie die Ereignisse anzeigen, die dem ausgewählten Knoten zugeordnet sind. In diesem Abschnitt haben Sie die Option zu Hinzufügen Oder Entfernen Ein Ereignis aus dem Knoten.

      Canvas: Hinzufügen von Zeitleistenereignissen zu den zugehörigen Datensätzen

      Diese Funktionalität bietet eine direkte Steuerung darüber, welche Ereignisse mit einem Knoten verknüpft sind, und ergänzt die Visualisierung auf der Canvas.

      Wichtig:
      Standardereignisse für erkennbare Elemente: Bestimmte Ereignisse werden für bestimmte erkennbare Elemente automatisch angezeigt. Beispielsweise enthalten erkennbare Dateielemente die Zuerst Gesehen Und Zuletzt Gesehen Felder.

      Die Systemeigenschaft sn_sec_tisc.timeline_node_fields Wird im Basissystem bereitgestellt, das bestimmt, welche Felder auf der Zeitleiste angezeigt werden.

      Standardmäßig enthält es die Felder first_seen und Last_seen. Sie können diese Eigenschaft ändern, um basierend auf Ihren Anforderungen neue Felder hinzuzufügen oder die vorhandenen zu entfernen.

      • Wenn dem Canvas ein erkennbares Datei-Element hinzugefügt wird, werden diese Ereignisse standardmäßig angezeigt.
      • Diese Standardereignisse werden nicht von der Konfiguration gesteuert und werden automatisch basierend auf den Werten angezeigt, die im Datensatz der erkennbaren Elemente ausgefüllt sind.
      • Wenn Zuerst Gesehen Und Zuletzt Gesehen Werte enthalten, dann werden die entsprechenden Ereignisse ohne zusätzliches Setup auf der Canvas angezeigt.