検索
XDR 検索では、Sophos Data Lake 内の特定のデータを検索できます。
感染の痕跡 (IoC)、または IP アドレスやユーザー名などの他のデータを検索できます。
検索の作成と実行
次の 2つの方法で検索を作成できます。
- 検索ビルダーを使用して基本的な検索を作成します。これはデフォルト設定です。
- クエリ言語 Lucene またはフリーテキスト入力を使用して、高度な検索を作成します。
手順については、以下の該当するタブを選択してください。
基本検索は簡単に作成できます。
インタラクティブな検索ビルダーを使用して、基本検索を作成します。
-
「脅威解析センタ- > 検索」に移動します。
-
検索する検出の時間範囲を選択します。
-
選択するデータの選択現在、 エンドポイントデータのみを検索できます。
-
検索バーで「追加」アイコンをクリックして、よく使用される検索フィールドを表示します。
-
「よく使用される項目」ダイアログで、フィールドをクリックします。
-
検索ビルダーで、ドロップダウンメニューを使用し
ISまたはINCLUDESなどの演算子を追加して値を入力します。例:
Device IP IS 148.139.13.160
-
オプションで、「行」をクリックし て演算子 (
AND、OR、またはNOT) を選択し、別のフィールドを追加します。「追加」をクリックします例:
hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP -
必要に応じて、結果に表示するデータフィールドを選択します。「列」をクリック して、目的のフィールドを選択します。
-
「検索」をクリックします。下部ペインに結果が表示されます。
-
検出の詳細を表示するには、各検索の横にある矢印をクリックします。
現在、検索結果を保存したり、検索結果の検出に対してアクションを実行したりすることはできません。
クエリ言語 Lucene を使用するか、独自のテキストを入力して、高度な検索を作成できます。
高度な検索を作成するには、次の手順を実行します。
-
「アドバンスドクエリに切り替える」をクリックします。
-
検索バーに、以下のセクションで説明するように、データフィールドとパラメータ、またはフリーテキストを入力します。
- 「検索」をクリックします。下部ペインに結果が表示されます。
データフィールドとパラメータの使用
データフィールド、さらにそれに続けてコロンを入力した後、検索パラメータを入力します。使用できるデータフィールドの詳細については、検索用のデータフィールド を参照してください。
複数のデータフィールドを使用して検索を作成できます。次に例を示します。
process_name:lsass AND username:admin OR username:system
sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"
詳細は、Lucene チュートリアルを参照してください。
フリーテキストの入力の使用
文字列を入力して、それを含む検出を検索します。特殊文字を含む MAC アドレスや IP アドレスなどの文字列の場合は、フリーテキスト検索で引用符を使用します。
次に例を示します。
0a43ff3773e7fcbb9a98029957c41bc3af56ae94
jdoe
"00:00:5e:00:53:af"
結果リストの設定
表示された結果のデフォルトの列をそのまま使用するか、変更して並べ替えることができます。
デフォルトの列
デフォルトでは、結果に次の列が表示されます。
| 列 | 詳細 |
|---|---|
| time | - |
| category | 例: 「network」 |
| activity_type | 例: 「open sockets」 |
| hostname | - |
| username | サーバーなどで、ユーザーがサインインしていない場合は表示されません |
| device_IP | - |
列の追加または削除
結果に表示されるデータの列を変更または並べ替えることができます。表示される列を変更するには、「列」をクリック し、目的の列を選択します。
列の並べ替え
結果テーブルの列の順序を変更するには、次の手順を実行します。
-
列ヘッダーをクリックして、目的の場所にドラッグします。
-
表ヘッダーの上下に矢印が表示されたら、列ヘッダーをドロップできます。
