Heute wollen wir anhand eines Searchstrings – oder use-case – ein eigenes Dashboard bauen. Dazu gehen wir im Hauptmenü auf Threat Hunting und in Events fügen wir den Filter rule.id is 60204 hinzu. Das speichern wir indem wir links neben dem Suchfeld auf die Diskette klicken.
Wir man sieht finden wir damit gehäufte falsche Windowsanmeldungen in unserer Tabelle.
Links im Mneü wechseln wir zu Visualize um unsere ersten Visualisierungen zu bauen:
