保存済みクエリ

クエリを保存してデータをすばやく検索したり、検索条件をチームと共有したり、自動ウォッチリストを設定したりできます。

次の表は、保存済みクエリで使用可能な処理を示しています。

操作

説明

保存済みクエリの検索

検索 フィールドに検索文字列を入力して、関連するクエリを動的に表示します。

保存済みクエリのインポートとエクスポート

保存済みクエリをインポートおよびエクスポートして、別のVision Oneコンソールを使用して他の管理者と共有できます。

注:

保存済みクエリ には検索条件のみが含まれ、検索結果は含まれません。

保存済みクエリのファイル形式はJSONです。インポートするときは、ファイル形式が有効で変更されていない必要があります。インポートされた保存済みクエリは、上書きするのではなく、現在のリストに追加されます。

ウォッチリストを有効にする

[ ウォッチリスト ]列で、 のコントロールを切り替えて検索プロセスを自動化し、一致するデータが見つかったときにメール通知を受信します。アラートメールの受信者は、Administration→Alert Notifications アプリを使用して設定できます

詳細については、「 Notifications」を参照してください。

注:
  • エンドポイントアクティビティ または検出データに一致する「公開データ」クエリにのみ該当します。

  • 自動検索は15分ごとに実行されます。

一般公開コントロールを有効にする

[一般公開] トグル () をオンに設定して、誰でもクエリを使用できるようにします。

クエリを手動で実行する

[処理]列で、次のアイコンをクリックしてクエリを実行します。

  • :検索結果を同じタブに表示します。

  • :検索結果を新しいタブに表示します。

保存済みクエリを削除

保存済みクエリを削除するには、保存済みクエリの左側にあるチェックボックスをオンにして、[ 削除]をクリックします。

注:

自分で作成した保存済みクエリのみ削除できます。