検索構文 · Customer Self-Service

ビュー:

Searchアプリを使用すると、データと検出結果をクエリできます。

ヒント

エンドポイントアクティビティデータと検出の両方を検索するには、検索方法として [一般] を選択します。特定のデータセットを検索するには、 [エンドポイントアクティビティデータ] または [検出] を選択します。
スペース文字の使用は、必要な結果と正確に一致するようにしてください。検索文字列内にダブルスペースを1つ含めると、同じ位置にスペース文字が1つしか含まれない結果は除外されます。
一部の検索フィールドでは、ID値の代わりにテキストが表示され、そのテキスト値を検索できません。たとえば、「eventID」は数値「1」をデータベースに格納しますが、検索結果には「TELEMETRY_PROCESS」と表示されます。「TELEMETRY_PROCESS」は検索できません。

次の表に、さまざまな検索構文の概要と文字列の例を示します。

Field-based Search Syntax
Free Search Syntax
Logical Operators and Special Characters
Token-based Search Syntax (Partial Match)
Wildcard Search
Search Filters
Logical Operator Precedence
エスケープ演算子と文字

フィールドベースの検索構文

検索対象

説明

サポートされるフィールドタイプ

検索構文

例

部分一致

指定したフィールドで検索文字列を含むすべての結果を表示します。

String
動的
整数
Long

注意

int型およびlong型では、常に完全一致が使用されます。

<field_name>: <search_string>
<field_name>: "*<search_string>*"

注意

特殊文字を検索またはエスケープするには、次のように入力します。 "*<search_string>*" 。

endpointName: Windows

エンドポイント名に「windows」を含むすべての結果を返します。

endpointName: *windows\/app*

エンドポイント名に「windows/app」を含むすべての結果を返します。

完全一致

指定したフィールドで、指定した検索文字列と完全に一致するすべての結果を表示します。

String
動的
整数
Long
Bool

注意

動的フィールドの種類は、すべての要素に部分的に一致します。

<field_name>: "<search_string>"

endpointName: "john_doe"

エンドポイント名が「john_doe」の結果のみを返します。

ワイルドカード検索

次のワイルドカード文字の代わりに使用されるフィールド値に一致する結果が表示されます。

*: 指定された位置の1つ以上の文字の代わりに使用されます

重要

ネットワークアクティビティデータのIPアドレスでは、ワイルドカード検索はサポートされていません。

String
動的

注意

動的フィールドタイプは、ワイルドカード検索を実行する前にオブジェクト全体を文字列に変換します。ダイナミック型でワイルドカード検索を使用すると、結果が少なくなり、クエリのパフォーマンスが低下します。

<field_name>: <search_string>*

endpointName: "john*"

エンドポイント名の最初の4文字に「john」を含むすべての結果を返します。

結果の例: "john"、"john_doe"、"johndoe"、"johnd"

範囲演算子

次の演算子を使用して、複数のフィールドに指定された要件に一致するすべての結果を表示します。

整数
Long

<field_name> <range_operator> <number>

"dpt >= 80" AND "dpt <= 443"

ログデータに80以上443以下の整数が含まれる結果のみを返します。

Regex

正規表現に一致するすべての結果が表示されます。値はフィールド内の任意の場所と一致します。

詳細については、次を参照してください。検索クエリでの正規表現の使用。

String

<field_name>: /<search_string>/

endpointHostName: /\\w*(trend|trendmicro)\.com/

自由な検索構文

検索対象

説明

検索構文

例

部分一致

いずれかのデータフィールドに検索文字列を含むすべての結果が表示されます。

注意

Free Searchは、ネットワークアクティビティデータをサポートしていません。

"search_string"
search_string

注意

数値とブール型フィールドの種類を検索するには、[フィールドベースの検索] を使用します。

"john"

いずれかのデータフィールドに文字列 [ジョン] を含むすべての結果を返します。

完全一致

使用不可

論理演算子と特殊文字

オペレータの種類

説明

サポートされている検索の種類

検索構文

例

複数のフィールド

次の演算子を使用して、複数のフィールドに指定された要件に一致するすべての結果を表示します。

注意

複数の論理演算子を使用すると、検索パフォーマンスが低下します。

フィールドベースの検索
フリーサーチ

<field_name>: <search_string1> OPERATOR <field_name>:<search_string2>

注意

部分一致、完全一致、およびワイルドカード検索では、特殊文字をスラッシュ (\) でエスケープする必要があります。

二重引用符なし: \():<>"{}
二重引用符内: \"\"、\"\\\"
「*」はサポートされていないため、エスケープされます

endpointName: "john_doe" AND fileName: "credit"

ログデータのいずれかのフィールドに「john_doe」と「Credits」の両方が含まれる結果のみが返されます (例: objectUser=john_doe2; fileName=creditcard.txt)。

"john_doe" AND NOT "home"

ログデータに「john_doe」が含まれるが、どのフィールドにも「home」が含まれない結果のみが返されます。

複数の値

次の演算子を使用して、複数の値に対して指定された要件に一致するすべての結果を表示します。

フィールドベースの検索
フリーサーチ

<field_name>: <search_string1> OPERATOR <search_string2>

endpointName:"john_doe" OR "jane_doe"

エンドポイント名が「john_doe」または「jane_doe」の結果が返されます。

トークンベースの検索構文 (部分一致)

検索条件

(例: "Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com john rend\\project\\abc.txt")

検索結果を返す

<field_name>: Trend

注意

トークンベースの検索では、部分一致が使用されます。初期設定では、各文字列値は、3文字以上の英数字で構成されるトークンと呼ばれる英数字のシーケンスに分割されます。部分一致は、フィールドベースの検索と自由検索の両方で使用できます。

○

<field_name>: TREND

○

<field_name>: "*Trend*"

○

<field_name>: Tre

注意

検索結果では、完全なトークンのみが比較されます。クエリ条件のトークンに含まれる文字が3文字未満の場合、クエリのパフォーマンスが低下します。

いいえ

<field_name>: Trend_Mic

いいえ

<field_name>: Micro

○

<field_name>: Trend_Micro

○

<field_name>: TREND_MICRO

○

<field_name>: Trend_

○

<field_name>: e91fe

いいえ

<field_name>: fa73ad07

○

<field_name>: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04

○

<field_name>: john_doe@trendmicro.com

○

<field_name>: Trend_Micro-Vision-One\: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
                                    john\\trend\\project\\abc.txt

○

<field_name>: Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
                                    john\trend\project\abc.txt

いいえ

<field_name>: "*Trend_Micro-Vision-One\: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
                                    john\\trend\\project\\abc.txt*"

いいえ

<field_name>: "*Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
                                    john\\trend\\project\\abc.txt*"

○

<field_name>: "*john\\trend\\project\\abc.txt*"

○

ワイルドカード検索

カテゴリ

説明

例

トークンベースの検索

大文字と小文字の区別

で開始

警告

動的フィールドでワイルドカード検索 (カテゴリ「先頭文字」、「末尾」、および「その他」) を使用すると、クエリのパフォーマンスが低下します。

文字列の末尾にはアスタリスク (*) が付きます。

Trend*

いいえ

で終わる

文字列の先頭にアスタリスク (*) が付いています。

*Micro

いいえ

格納

文字列の先頭と末尾にはアスタリスク (*) が付きます。

注意

[次を含む] カテゴリのワイルドカード検索の使用部分一致。

*Vision*

○

いいえ

その他

文字列の途中に1つ以上のアスタリスク (*) があります。

注意

一致パターンは文字列値の途中で指定できます。「Tre*d」は値「HelloTrendMicro」と一致します。

Tr*nd
**Micro
*Vis*ion*
One**

いいえ

○

クエリ条件 (例: "Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com")	カテゴリ	説明	検索結果を返す
`<field_name>: "Trend*"`	`Start with`	「トレンド」で始まる値を検索します。	○
`<field_name>: "trend*"`	`Start with`	「trend」で始まる値を検索します。	○
`<field_name>: "*trendmicro.com"`	`End with`	「trendmicro.com」で終わる値を検索します。	○
`<field_name>: "*TRENDMICRO.COM"`	`End with`	「TRENDMICRO.COM」で終わる値を検索します。	○
`<field_name>: "Trend_Micro"`	`Contain`	「Trend_Micro」を含む値を検索します。	○
`<field_name>: "trend_micro"`	`Contain`	「trend_micro」を含む値を検索します。	○
`<field_name>: "Trend*com"`	`MISC.`	先頭が「Trend」、末尾が「com」である値を検索します。	○
`<field_name>: "Tre*"`	`Start with`	「Tre」で始まる値を検索します。	○
`<field_name>: "*micro.com"`	`End with`	「micro.com」で終わる値を検索します。	○
`<field_name>: "fa73ad07e91fedaf4a04*"`	`MISC.`	「fa73ad07e91fedaf4a04*」に一致する値を検索します。	○
`<field_name>: "fa73ad07*e91fedaf4a04"`	`MISC.`	「fa73ad07*e91fedaf4a04」に一致する値を検索します。	○
`<field_name>: "fa73ad07*"`	`Start with`	「fa73ad07」で始まる値を検索します。「fa73ad07」はトークンの先頭ですが、文字列全体の先頭ではないため、結果は一致しません。	いいえ
`<field_name>: "fa73ad07**"`	`MISC.`	「fa73ad07*」に一致する値を検索します。文字列の途中に「」があるため、これはMISCです。ワイルドカード検索。 MISC。ワイルドカードは、文字列の途中でも検索結果を検索します。	○
`<field_name>: "*Vision-One"`	`End with`	「Vision-One」で終わる値を検索します。「Vision-One」はトークンの末尾ですが、文字列全体の末尾ではないため、結果は一致しません。	いいえ
`<field_name>: "**Vision-One"`	`MISC.`	「*Vision-One」に一致する値を検索します。文字列の途中に「」があるため、これはMISCです。ワイルドカード検索。 MISC。ワイルドカードは、文字列の途中でも検索結果を検索します。	○
`<field_name>: "**vision-one"`	`MISC.`	「**vision-one」に一致する値を検索します。その他ワイルドカード検索では大文字と小文字が区別されるため、「vision-one」は「Vision-One」とは一致しません。	いいえ
`<field_name>: "Visio"`	`Contain`	「Visio」を含む値を検索します。 "Visio" は文字列内のトークンではないため、結果は一致しません。	いいえ
`<field_name>: "VISION*COM"`	`MISC.`	先頭に「VISION」、末尾に「COM」が含まれる値を検索します。その他ワイルドカード検索では大文字と小文字が区別されるため、「vision」は「Vision」と一致しません。	いいえ

検索フィルタ

処理

説明

サポートされるフィールドタイプ

フィルタの追加: フィールドが値と等しい場合

選択した値を検索条件として既存の検索クエリに追加します。

String
動的
整数
Long

注意

動的型はすべての要素に部分的に一致します。

フィルタを追加: フィールドが値と等しくない場合

選択した値を既存の検索クエリの例外として追加します。

String
動的
整数
Long

注意

動的型は、部分一致の結果のみを含むすべての結果を削除します。

フィルタの追加: フィールドが空の場合

値のない選択したフィールドを検索条件として既存の検索クエリに追加します。

String
動的
整数
Long

フィルタの追加: フィールドが存在する

任意の値を検索条件として選択したフィールドを既存の検索クエリに追加します。

String
動的
整数
Long

フィルタを追加: フィールドが存在しない

値のない選択したフィールドを検索条件として既存の検索クエリに追加します。

String
動的
整数
Long

論理演算子の優先順位

優先度

オペレータ

説明

例

( )

論理式のグループ化

ポート80、81、または82を含むリターンイベント

port: (80 OR 81 OR 82)

NOT

論理否定

ポート80を含まないイベントを返す

NOT port: 80

AND

論理 AND

注意

AND演算子はORよりも優先されますが、演算子を括弧で囲んでグループ化することで優先順位をオーバーライドできます。次の2つのクエリは同等です。

port: 80 OR port: 81 AND endpointHostname: "john"
port: 80 OR (port: 81 AND endpointHostname: "john")

論理 OR

エスケープ演算子と文字

カテゴリ	演算子または文字	マッチタイプと例
キーワード	AND OR NOT	部分一致 `ruleName: Engine \AND analyzed`
特殊文字	\ ( ) : < > " * { }	部分一致 `processCmd: C\:`
完全一致キーワード	" \	完全一致 `objectCmd: "*hang\""`
正規表現キーワード	\ /	正規表現一致 `filePath: /\/etc\/pwd\/config\/aaa/`
空白	\t \r \n	部分一致 `objectRegistryData: \\t*` 正規表現一致 `filePath: /\windows\system\\temp/`