高度なクエリの作成

高度なクエリ機能を使用すると、カスタムクエリを作成して脅威探索アクティビティを強化できます。高度なクエリによって、Aurora Focus 環境の詳細な可視性、広範なクエリオプション、最適化したワークフローが提供され、関連検索を組み合わせて新しいインサイトを示すことができます。高度なクエリは、Aurora Focus エージェントバージョン 3.0 以降を搭載したデバイスでサポートされています。

高度なクエリでは、EQL 構文を使用します。EQL を使用してイベントのクエリを構築すると、その結果では、これらのイベントに関係したアーチファクトについての情報が提供されます。高度なクエリ UI には、EQL クエリの構築に役立つ構文情報が含まれています。

高度なクエリでサポートされる EQL 構文」と「Aurora Focus EQL クエリの例」を確認してください。
  1. 管理コンソールのメニューバーで、[CylanceOPTICS] > [高度なクエリ]をクリックします。
  2. 次の操作のいずれかを実行します。

    タスク

    手順

    新しい高度なクエリを作成する
    既存のクエリテンプレートを使用して新しいクエリを作成する場合は、[テンプレートリストを表示]をクリックしてテンプレートをクリックし、次の最初の手順を省略します。
    1. クエリフィールドで、クエリの EQL 構文を入力するか貼り付けます。入力を開始すると、構文オプションと検証メッセージが表示され、クエリを作成しやすくなります。

      現在のクエリをテンプレートとして保存する場合は、[テンプレートとして保存]をクリックします。名前と説明を入力し、テンプレートをプライベートにするか、全管理者が使用できるようにするかを選択します。[保存]をクリックします。クエリのピン留め、編集、削除は、テンプレートリストから行うことができます。

    2. クエリの範囲を設定するには、[デバイスを検索][ゾーンごと]または[デバイスごと]をクリックします(各デバイスの横にあるアイコンは、デバイスがオンラインであるかどうかを示します)。1 つまたは複数のゾーンまたはデバイスを選択し、[保存]をクリックします。範囲を設定しない場合、クエリはすべてのゾーンとデバイスに適用されます。
    3. クエリの日付と時刻の範囲を設定するには、日付範囲アイコン をクリックして範囲を設定します。[適用]をクリックします。範囲を設定しない場合、クエリは使用可能なすべてのデータに適用されます。
    4. 次の操作のいずれかを実行します。
      • クエリを実行する場合は、[クエリを実行]をクリックします。
      • 特定の日時または定期的な間隔でクエリを実行するようにスケジュールする場合は、[クエリをスケジュール]をクリックします。名前と説明を入力し、クエリをプライベートにするか、すべてのユーザーに表示するかを選択し、日付、時刻、およびオプションの繰り返し設定を指定します。前回の実行以降に収集されたデータにクエリを制限する場合は、[新しいデータのみをクエリする]チェックボックスをオンにします。[クエリをスケジュール]をクリックします。

        [スケジュール済みのクエリ]タブでは、スケジュール済みのクエリを表示および編集でき、その結果を表示およびエクスポートできます。アクティブに実行されているクエリ、または実行するようにスケジュールされているクエリは、最大 25 個まで使用できます。停止したクエリまたは完了済みの単一実行クエリは、この制限にカウントされません。

    クエリ結果を保存して後で[クエリのスナップショット]タブから表示する場合は、結果セクションで 保存アイコン をクリックします。名前と説明を入力し、結果をプライベートにするか、全ユーザーに表示するかを選択します。

    クエリスナップショットを表示する

    [クエリのスナップショット]タブで、クエリのスナップショットをクリックします。

    なお、これはクエリを保存した時の元の結果を表示します。新しいクエリの結果ではありません。
  3. クエリ結果をフィルタリングする場合は、次のいずれかを行います。
    • 日付とタイムスタンプでクエリ結果をフィルタリングするには、ヒストグラムの 1 つまたは複数のバーをクリックして、その日付と時間範囲でフィルタリングします。選択した範囲内の任意のバーをクリックすると、その日付と時刻のフィルターが削除されます。
    • クエリ結果を列でフィルタリングするには、その列([デバイス]など)の フィルターアイコン をクリックして、フィルター条件を選択します。
    • 指定した値でクエリ結果をフィルタリングするには、クエリ結果の上にある 検索アイコン をクリックし、検索フィールドに値を入力するか貼り付けます(特定のタイムスタンプ、イベント詳細値など)。
  4. 結果を展開して詳細を表示します。結果詳細アイコン をクリックすると、イベントの詳細と関連するアラートに関する情報を含むパネルが開きます(結果ウィンドウを右にスクロールする必要がある場合があります)。1 つまたは複数の特定のファセットの一致を表示するようにクエリ結果をフィルタリングするには、それらのファセットの フィルターアイコン をクリックします。フィルターを削除するには、アイコンを再度クリックします。
  5. クエリ結果で、[オプション]アイコン メニューを展開して、各結果に対して使用可能なアクションを表示します。結果のタイプに応じて、次のようなアクションがあります。
    • フォーカスデータを要求および表示します。
    • グローバル隔離ファイル。このファイルは、デバイス詳細の[設定] > [グローバルリスト] > [グローバル隔離][保護] > [脅威]、および[脅威]セクションに表示されます。
    • ファイルを要求してダウンロードします。他のアーチファクトタイプに関連付けられたファイルについてのパス情報がある場合は、それらのファイルをダウンロードすることもできます。ファイルは、誤って実行されないようにするために、圧縮され、パスワードで保護されています。パスワードは「infected」です。ファイル取得のサイズ制限は 50MB です。アーチファクトとファイルは、Aurora Focus によって 30 日間保持されます。
  6. 結果をピン留めして、その後のクエリで表示された場合に視覚的なマーカーで表示されるようにする場合は、ピンアイコン をクリックします。
  • クエリの結果を .csv ファイルにエクスポートする場合は、エクスポートアイコン をクリックします。名前と説明を入力し、エクスポートした結果をプライベートにするか、すべての管理者に表示するかを指定し、[エクスポート]をクリックします。ファイルの準備ができたら、[エクスポート済みの結果]タブからファイルをダウンロードできます。
  • 新しいクエリを追加するには、現在のクエリタブの横にある 追加アイコン をクリックします。
  • 既存のクエリをコピーするには、そのクエリタブにカーソルを合わせ、クローンアイコン をクリックします。