スケジュール済みクエリ
Live Discover クエリは、指定した日時に定期的に実行されるようにスケジュール設定できます。
制限事項
スケジュール設定は、Data Lake クエリのみで実行できます。
Live Discover の詳細は、Live Discoverを参照してください。
クエリをスケジュール設定する方法の説明は、以下の動画を参照してください。
クエリのスケジュール設定
クエリをスケジュール設定するには、次の手順を実行します。
- 「脅威解析センター」を参照して、「Live Discover」をクリックします。
-
Live Discover で、「クエリ」セクションを開きます (まだ開いていない場合)。
-
「Data Lake クエリ」をクリックし、使用するカテゴリ (例:「ファイル」など) を選択します。選択したカテゴリ内のクエリの一覧が表示されます。
-
「変更された Windows ファイル」など、スケジュール設定するクエリをクリックします。
-
任意: 矢印をクリックして「期間の選択」を開き、クエリする期間を選択します。デフォルトは過去 7日間です。
これは、クエリをスケジュールを設定するオプションではありません。クエリを実行する頻度ではなく、クエリの対象となる過去の期間を指定するものです。
-
「Live Discover」ページの下部で、「クエリのスケジュール設定」をクリックします。
-
「クエリのスケジュール設定」ダイアログで、頻度、日付、および終了日を選択します。
終了日を設定しない場合は、「キャンセルするまで」を選択してください。
右上の棒グラフには、作成可能なスケジュール済みクエリまたはレポートの残りの数が表示されます。各管理者は、このレポート形式を使用するソフォス製品に対して、合計で最高 100 個まで作成できます。
-
「スケジュール済みクエリの作成」をクリックします。
-
新しいクエリを表示するには、「脅威解析センター > 設定」を参照して、「スケジュール済みクエリ」タブを選択します。
クエリをクリックして、その結果を表示したり、設定を編集したりできます。
最大 100件の「スケジュール設定済み」クエリを設定できます。これは、実行が有効化されているクエリです (デフォルト設定)。
スケジュール済みクエリの結果の取得
スケジュール済みクエリの結果を表示するには、次の手順を実行します。
- 「脅威解析センタ- > 設定」を参照します。
-
「スケジュール済みクエリ」タブで、スケジュール済みクエリをクリックして詳細を表示します。
-
「結果」タブにあるリストには、実行されたクエリすべてが表示されます。参照するものを見つけて、「結果を表示する」をクリックします。
-
クエリの結果で、ピボットクエリを使用してさらに調査するには、データの横にある省略記号アイコン をクリックします。詳細は、ピボットクエリを参照してください。
ヒント
最近の結果をすばやく表示するには、「脅威解析センター > ダッシュボード」を参照して、「最近スケジュール設定されたクエリ」で表示するクエリをクリックします。
スケジュール済みクエリの編集
スケジュール済みクエリを編集して、実行日時やクエリする期間を変更できます。
スケジュール済みクエリを編集するには、次の手順を実行します。
- 「脅威解析センタ- > 設定」を参照します。
-
「スケジュール済みクエリ」タブで、対象とするエンリッチ化を参照します。「アクション」で、「編集」アイコンをクリックします。
-
クエリの詳細ページで、次の手順を実行できます。
- 「クエリ」タブで、クエリ名、説明、またはクエリする期間 (例: 過去 7日間) を編集します。
- 「スケジュール」タブで、スケジュールのオン/オフを切り替えたり、スケジュールの頻度と曜日を編集したりできます。
-
「スケジュール済みクエリの更新」をクリックして変更を保存します。
スケジュール済みクエリの削除
スケジュール済みクエリを削除するには、次の手順を実行します。