Konfigurieren Sie anwenderdefinierte Ereignistypen für die Zeitleiste

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Die Zeitleistenkomponente im Untersuchungs-Canvas bietet einen chronologischen Überblick über alle Ereignisse im Zusammenhang mit einer ausgewählten Entität. Mit dieser Funktion können Analysten Aktionen, Updates und Changes im Laufe der Zeit nachverfolgen und bietet eine umfassende historische Perspektive der Aktivität der Entität. Daher unterstützt es eine effektive temporäre Bedrohungsanalyse.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Als Administrator können Sie die anwenderdefinierten Ereignistypen so konfigurieren, dass die Zeitleiste an den Untersuchungsanforderungen der Organisation ausgerichtet ist, um sicherzustellen, dass relevante Ereignisse hervorgehoben werden, und die temporäre Bedrohungsanalyse zu verbessern.

    Analysten können Ereignisse hinzufügen, bearbeiten oder entfernen, die den Intelligence-Datensätzen zugeordnet sind. Die Zeitleiste behält auch die anwenderspezifischen Datumsbereiche für jeden Canvas bei, was eine konsistente und detaillierte Analyse-Experience bietet. Weitere Informationen finden Sie unter Hinzufügen von Zeitleistenereignissen zur Canvas.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Administration > Nodemap-Steuerungen > Anwenderdefinierter Ereignistyp der Zeitleistean.
    2. Wählen Sie Neu.
    3. Füllen Sie die Felder entsprechend aus.
      FeldBeschreibung
      Ereignisname Ein eindeutiger Name, der das spezifische Aktivitäts- oder Ereignisvorkommen identifiziert, das auf der Zeitleiste aufgezeichnet wurde.

      Dies dient als primäre Bezeichnung für jedes Ereignis, damit Sie den erstellten Knoten, den aktualisierten Status oder zusätzliche Details schnell verstehen können.
      Beschreibung Beschreibung des Ereignistyps, um den Kontext des Ereignisses bereitzustellen.
      Status Gibt den aktuellen Status eines Ereignisses auf der Zeitleiste an.
      Symbol Ein Symbol, das auf der Zeitleiste angezeigt wird, um Ereignisse dieses Typs visuell darzustellen.
      Farbe Gibt die Farbe des Symbols an, das das Ereignis auf der Zeitleiste darstellt.
    4. Speichern Die anwenderdefinierte Ereigniskonfiguration der Zeitleiste.
      Hinweis:
      Standardmäßig ist das anwenderdefinierte Zeitleistenereignis deaktiviert, bis Sie das Ereignis manuell aktivieren.
    5. Navigieren Sie zu Konfiguration Des Zeitleistenereignisses Abschnitt zum Hinzufügen oder Entfernen der Objekte oder erkennbaren Elemente.
      Zeitleistenkonfiguration
    6. Wählen Sie Aus Hinzufügen Um die Entität und die anwendbare Tabelle für ein Objekt oder erkennbares Element hinzuzufügen oder zu bearbeiten, d. h. Sie können jetzt angeben, für welche Tabellen die Zeitleiste gilt.
    7. Wählen Sie aus Entität .
      Sie können entweder ein Objekt oder ein erkennbares Element hinzufügen. Wenn ein Objekt ausgewählt ist, zeigt die Anwendung alle anwendbaren Tabellen an, die ihm zugeordnet sind. Sie können die Liste ändern, indem Sie nach Bedarf Einträge hinzufügen oder entfernen.

      Im Abschnitt Konfiguration Des Zeitleistenereignisses , Enthaltene Tabelle Feld gibt die spezifischen Datensatztypen an, für die jedes Ereignis gilt. Als Administrator können Sie beispielsweise eine Entität wie eine Schwachstelle aus der Liste entfernen, wenn das Ereignis nicht mehr für diese Schwachstelle gelten soll. Wenn eine Entität vom Typ „Schwachstelle“ entfernt wird, wird das Ereignis für diese Schwachstelle nicht mehr ausgelöst.

      Hinweis:

      Standardereignisse für erkennbare Elemente : Bestimmte Ereignisse werden für bestimmte erkennbare Elemente automatisch angezeigt. Beispielsweise enthalten erkennbare Dateielemente die Zuerst Gesehen Und Zuletzt Gesehen Felder.

      Die Systemeigenschaft sn_sec_tisc.timeline_node_fields Wird im Basissystem bereitgestellt, das bestimmt, welche Felder auf der Zeitleiste angezeigt werden.

      Standardmäßig enthält es die Felder first_seen und Last_seen. Sie können diese Eigenschaft ändern, um basierend auf Ihren Anforderungen neue Felder hinzuzufügen oder die vorhandenen zu entfernen.

      • Wenn dem Canvas ein erkennbares Datei-Element hinzugefügt wird, werden diese Ereignisse standardmäßig angezeigt.
      • Diese Standardereignisse werden nicht von der Konfiguration gesteuert und werden automatisch basierend auf den Werten angezeigt, die im Datensatz der erkennbaren Elemente ausgefüllt sind.
      • Wenn Zuerst Gesehen Und Zuletzt Gesehen Werte enthalten, dann werden die entsprechenden Ereignisse ohne zusätzliches Setup auf der Canvas angezeigt.
    8. Wählen Sie Aus Speichern Um Ihre Änderungen zu bestätigen.
      Sobald dies abgeschlossen ist, können Sie zurückgehen und Ihr anwenderdefiniertes Zeitleistenereignis aktivieren. Diese Aktion bestätigt, dass das anwenderdefinierte Zeitleistenereignis für die angegebenen Tabellen gilt.
      Hinweis:

      Nach der Konfiguration kann jedes Ereignis entweder aktiviert oder deaktiviert werden.

      • Aktivierte Ereignisse sind für die Auswahl im Untersuchungs-Canvas verfügbar und können relevanten Knoten hinzugefügt werden.
      • Deaktivierte Ereignisse werden in ausgeblendet Fügen Sie Ein Zeitleistenereignis Hinzu Liste und kann der Zeitleiste nicht hinzugefügt werden.

    Nächste Maßnahme

    Sobald das Ereignis konfiguriert ist, können Sie zum Untersuchungs-Canvas navigieren, um den Zeitleisteneintrag zu überprüfen und Einträge hinzuzufügen oder zu bearbeiten. Weitere Informationen finden Sie unter Hinzufügen von Zeitleistenereignissen zur Canvas. Weitere Informationen zur Verwendung der Zeitleistenfunktion finden Sie unter Verwenden der Zeitleiste im Untersuchungs-Canvas.