NxtFireGuard Dashboard-Suche

1. Einleitung 🔍

Das NxtFireGuard-Dashboard bietet eine leistungsstarke Suchfunktion, mit der Sie spezifische Sicherheitsereignisse und Bedrohungen basierend auf verschiedenen Parametern filtern können. Diese Anleitung zeigt Ihnen, wie Sie eine Suche durchführen und welche Felder verfügbar sind.

2. Beispielsuche 📊

Hier ist ein Beispiel für eine Suchanfrage zur Filterung eines spezifischen Bedrohungsfalls:

threat_name: "SERVER-OTHER OpenSSL TLS change cipher spec protocol denial of service attempt, Unknown Traffic"
AND source_ip: "203.0.113.45"
AND target_ip: "192.168.10.5"
AND target_port: "443"
AND domain: "example.org"
AND criticality: 3

3. Erklärung der Suchparameter 📋

countrycode

Der ISO-Code, der das Land darstellt, aus dem der Verkehr stammt, hilft, geografische Muster bei Bedrohungen zu identifizieren.
Beispiel: countrycode: "US" könnte darauf hinweisen, dass der Verkehr aus den Vereinigten Staaten kommt.

countryname

Der Name des Landes, das mit der Quell-IP verknüpft ist. Das Verständnis der geografischen Herkunft von Angriffen kann bei geopolitischen Risikoanalysen helfen.
Beispiel: countryname: "Kanada" zeigt an, dass der Verkehr aus Kanada stammt.

criticality

Eine Klassifikation des Schweregrads der Bedrohung, die hilft, Prioritäten bei der Reaktion festzulegen.
Beispiel: criticality: 5 zeigt ein sehr hohes Schweregradniveau für den Vorfall an.

domain

Die Domain, von der die Angreifer-IP stammt, liefert Kontext zu potenziellen Bedrohungen.
Beispiel: domain: "malicious.com" deutet darauf hin, dass der Angriff mit dieser spezifischen Domain verbunden ist.

host

Der Host, der die Warnung gesendet hat, gibt das beteiligte Asset im Vorfall an.
Beispiel: host: "server1.example.com" zeigt, welcher Server die Warnung generiert hat.

host_type

Die Kategorie des Hosts, der die Warnung sendet, die hilft, Angreifer zu identifizieren, die spezifische Hosttypen angreifen, wie z. B. Cisco ISE.
Beispiel: host_type: "cisco-firepower" zeigt alle Angriffe auf eine Cisco-Firepower-Firewall an.

isp

Der Internetdienstanbieter, der mit der Quell-IP verbunden ist. Die Analyse des Verkehrs von bestimmten ISPs kann Einblicke in potenzielle bösartige Muster geben.
Beispiel: isp: "Comcast" zeigt an, dass die Quell-IP von Comcast bereitgestellt wird.

istor

Gibt an, ob die IP ein bekannter TOR-Knoten ist.
Beispiel: istor: true deutet darauf hin, dass die IP-Adresse Teil des TOR-Netzwerks ist.

source_ip

Die IP-Adresse, die den Verkehr initiiert hat.
Beispiel: source_ip: "203.0.113.45" zeigt die Herkunft des Netzwerkverkehrs.

target_ip

Die IP-Adresse, die angegriffen wurde.
Beispiel: target_ip: "192.168.10.5" gibt das spezifische Ziel des Angriffs an.

target_port

Der Port, der während des Angriffs angegriffen wurde.
Beispiel: target_port: "80" deutet darauf hin, dass der Angriff auf den HTTP-Dienst abzielte.

threat_name

Der beschreibende Name der Bedrohung.
Beispiel: threat_name: "SQL Injection Attempt" spezifiziert die Art des Angriffs, der analysiert wird.

4. Platzhaltersuche mit dem * Operator ✨

Der * Operator fungiert als Platzhalter für beliebige Werte in Feldern. Zum Beispiel:
Domain-Suche mit Platzhalter:
Um nach einer Domain zu suchen, die mit example.org endet:

domain: "*.example.org"

IP-Suche mit Platzhalter:
Um nach IP-Adressen zu suchen, die mit 192.168. beginnen:

source_ip: "192.168.*"

5. Anwendung der Suche 🔎

Sie können die oben beschriebenen Syntaxe in das Suchfeld des Dashboards eingeben, um spezifische Vorfälle zu filtern. Die Verwendung von AND verbindet mehrere Filterkriterien, sodass die Suche nur Ergebnisse zurückgibt, die alle Bedingungen erfüllen.

6. Ausschluss von Ergebnissen in der NxtFireGuard Dashboard-Suchsyntax 🚫

Manchmal möchten Sie bestimmte Ergebnisse von Ihrer Suche ausschließen, um sich auf andere Bedrohungen oder Ereignisse zu konzentrieren. Dieser Abschnitt zeigt, wie Sie die NOT-Operatoren verwenden, um Einträge spezifisch auszuschließen.

7. Beispiel einer Ausschluss-Suche ❌

Hier ist ein Beispiel für eine Suchanfrage, die spezifische IP-Adressen, Ländercodes, Ports, Domains und Bedrohungen ausschließt:

NOT source_ip: "203.0.113.45"
AND NOT country_code: "US"
AND NOT target_ip: "192.168.10.50"
AND NOT target_port: "443"
AND NOT threat_name: "SERVER-WEBAPP TP-Link Archer Router command injection attempt, A System Call was Detected"
AND NOT domain: "example.org"
AND NOT criticality: 2

8. Platzhaltersuche mit dem * Operator für Ausschlüsse 🚷

Der * Operator kann auch verwendet werden, um mehrere Einträge auszuschließen. Er fungiert als Platzhalter für beliebige:

Domains ausschließen:
Um alle Domains auszuschließen, die mit example.org enden:

NOT domain: "*.example.org"

IPs ausschließen:
Um alle IP-Adressen auszuschließen, die mit 192.168. beginnen:

NOT source_ip: "192.168.*"

Ausschluss mehrerer Kriterien:
Sie können mehrere Werte für ein Feld ausschließen. Zum Beispiel:

NOT source_ip: ("203.0.113.45" OR "198.51.100.23")

1. Einleitung 🔍​

2. Beispielsuche 📊​

3. Erklärung der Suchparameter 📋​

countrycode​

countryname​

criticality​

domain​

host​

host_type​

isp​

istor​

source_ip​

target_ip​

target_port​

threat_name​

4. Platzhaltersuche mit dem * Operator ✨​

5. Anwendung der Suche 🔎​

6. Ausschluss von Ergebnissen in der NxtFireGuard Dashboard-Suchsyntax 🚫​

7. Beispiel einer Ausschluss-Suche ❌​

8. Platzhaltersuche mit dem * Operator für Ausschlüsse 🚷​