InstaQuery の作成

  1. 管理コンソールのメニューバーで、[Focus] > [InstaQuery]をクリックします。
  2. 次の操作のいずれかを実行します。

    タスク

    手順

    新しい InstaQuery を作成します。
    以前のクエリを複製する場合には[以前のクエリ]セクションを展開して、クエリを見つけて、[クエリを複製]をクリックします。
    1. [検索語句]フィールドに検索する値(ファイル名、ハッシュ、プロセス、レジストリ値など)を入力します。完全一致を検索する場合は、[完全一致]チェックボックスをオンにします。
    2. [アーチファクト]ドロップダウンリストで、アーチファクトタイプをクリックします。
    3. [ファセット]ドロップダウンリストで、適切なファセットをクリックします。
    4. [ゾーン]ドロップダウンリストで、1 つ以上のゾーンを選択します。
    5. クエリの名前と説明を入力します。
    6. [クエリを送信]をクリックします。
    7. クエリの現在のステータスが[以前のクエリ]セクションに表示されます。クエリが完了したら、[結果を表示]をクリックします。

    前の InstaQuery が表示されます。
    1. [以前のクエリ]セクションを展開します。
    2. 表示するクエリについて、[結果を表示]をクリックします。
  3. [InstaQuery の結果]セクションでは、[アクション]メニューを展開して、それぞれの結果に対して使用可能なアクションにアクセスできます。結果のタイプに応じて、次のようなアクションがあります。
    • フォーカスデータを要求および表示します。
    • グローバル隔離ファイル。ファイルは、[設定] > [グローバルリスト] > [グローバル隔離]の、[保護] > [脅威]にある、デバイスの詳細の[脅威]セクションに表示されます。
    • ファイルを要求してダウンロードします。他のアーチファクトタイプに関連付けられたファイルについてのパス情報がある場合は、それらのファイルをダウンロードすることもできます。ファイルは、誤って実行されないようにするために、圧縮され、パスワードで保護されています。パスワードは「infected」です。

      ファイル取得のサイズ制限は 50MB です。アーチファクトとファイルは、Aurora Focus により 30 日間保持されます(この期間は組織のライセンスに基づいて延長できます)。

  4. InstaQuery のファセットの詳細を表示するには、[InstaQuery の結果]セクションで、ファセットの詳細アイコンをクリックします。