Searchアプリ

強力なクエリ文字列を作成して、環境内の調査対象のデータまたはオブジェクトを特定します。

Searchアプリ には、検索結果を特定、分類、および取得するためのさまざまな検索方法、フィルタ、およびKibanaに似たクエリ言語が用意されています。で検索クエリを保存し、ウォッチリストを設定し、 で新しいデータが検出さ た場合のメール通知を設定することで、検索プロセスを自動化できます。

ヒント:

ガイドを開くをクリックすると、使用例と役立つ検索のヒントが表示されます。

次の表は、Searchアプリ(XDR Threat Investigation > Search)で使用できる処理を示しています。

操作

説明

検索を実行する

データを検索するには、検索方法を選択して条件を指定し、Searchをクリックします。

  • 一般:正規化された検索条件を使用して、接続されている製品のすべてのデータを検索できます。

    ヒント:

    別の検索条件とオプションを使用して、必要なデータを正確に検索してください。

  • 詳細:検索するデータの正確なソースを選択できます。

    注:

    • 一部の検索方法には、 Trend Micro Vision One コンソールから検索に必要なデータにアクセスできるようにするための前提条件設定があります。各データソース項目にマウスを重ねると、手順が表示されます。

    • 自動的に入力される検索フィールドの条件は、選択したデータソースのデータベースフィールドを直接表します。

検索履歴を表示

履歴を表示をクリックすると、検索履歴パネルが開き、以前の検索のリストが表示されます。

検索アイコン()をクリックすると、以前の検索から条件をロードして新しい検索を実行できます。

注:

ブラウザのキャッシュをクリアするまで、ブラウザでは検索履歴データがローカルに保存されます。今後のクエリで使用する検索条件を保存することをお勧めします。

検索クエリを保存

検索を実行したら、クエリを保存をクリックして名前を指定し、保存をクリックして現在の検索クエリを保存します。

重要:

  • 保存済みクエリ には検索条件のみが含まれ、検索結果は含まれません。

  • 保存できるクエリは200件までです。

保存済み検索クエリの表示

保存済みクエリをクリックして、保存済みクエリダイアログを開きます。

ウォッチリストでのクエリの表示

ウォッチリストボタン()をクリックすると、 ウォッチリストに含まれるすべての保存されたクエリが表示されます。

初期設定の列ビューを変更する

Searchアプリでは、初期設定で結果表にログ記録列のみが表示されます。初期設定の列表示を変更するには、「 初期設定の列ビューの変更」を参照してください。

検索プロファイルのインポート

プロファイルリストで、プロファイルをインポートをクリックし、検索プロファイルを含む1つ以上のJSONファイルを選択して検索プロファイルをインポートします。

検索プロファイルのエクスポート

プロファイルリストで、検索プロファイルにカーソルを合わせ、エクスポートアイコン()をクリックして検索プロファイルをJSONファイルにエクスポートします。
  • コンテキストメニューからの検索処理
    コンテキストメニューには、調査中に、さらに調査する必要のあるオブジェクトやデータが見つかった場合にアクセスできる追加の検索オプションがあります。
  • 検索構文:簡易検索
    Searchアプリを使用すると、自由形式の検索を実行して、エンドポイントアクティビティデータおよび検出にアクセスできます。
  • 検索構文:複雑なクエリ
    Searchアプリを使用すると、強力なクエリを実行して、エンドポイント、メッセージング、およびネットワーク製品のデータにアクセスしたり、セキュリティ検出のみに集中したりできます。
  • 保存済みクエリ
    クエリを保存してデータをすばやく検索したり、検索条件をチームと共有したり、クエリをウォッチリストに追加したりできます。
  • 初期設定の列ビューの変更
    検索結果の表に表示される列を定義できる検索プロファイルを作成します。
  • 検索方法のデータソース
    一般検索方法と高度な検索方法を有効にするために必要なデータソースを接続します。
親トピック: XDR Threat Investigation