高度なクエリの作成
高度なクエリ機能を使用すると、カスタムクエリを作成して脅威探索アクティビティを強化できます。高度なクエリによって、
CylanceOPTICS
環境の詳細な可視性、広範なクエリオプション、最適化したワークフローが提供され、関連検索を組み合わせて新しいインサイトを示すことができます。高度なクエリは、CylanceOPTICS
エージェントバージョン 3.0 以降を搭載したデバイスでサポートされています。高度なクエリは、
CylanceOPTICS
バージョン 3.0 以降を BlackBerry
から要求して取得されたお客様のみ利用できます。高度なクエリでは、EQL 構文を使用します。EQL を使用してイベントのクエリを構築すると、その結果では、これらのイベントに関係したアーチファクトについての情報が提供されます。高度なクエリ UI には、EQL クエリの構築に役立つ構文情報が含まれています。
「高度なクエリでサポートされる EQL 構文」と「CylanceOPTICS EQL クエリの例」を確認してください。
- 管理コンソールのメニューバーで、[CylanceOPTICS] > [高度なクエリ]をクリックします。
- 次の操作のいずれかを実行します。タスク手順新しい高度なクエリを作成する既存のクエリテンプレートを使用して新しいクエリを作成する場合は、[テンプレートリストを表示]をクリックしてテンプレートをクリックし、次の最初の手順を省略します。
- [新しいクエリを追加]をクリックします。
- クエリフィールドで、クエリの EQL 構文を入力するか貼り付けます。現在のクエリをテンプレートとして保存する場合は、[テンプレートとして保存]をクリックします。名前と説明を入力し、テンプレートをプライベートにするか、全管理者が使用できるようにするかを選択します。[保存]をクリックします。クエリのピン留め、編集、削除は、テンプレートリストから行うことができます。
- クエリの範囲を設定するには、[デバイスを検索]で[ゾーンごと]または[デバイスごと]をクリックします。1 つまたは複数のゾーンまたはデバイスを選択し、[保存]をクリックします。範囲を設定しない場合、クエリはすべてのゾーンとデバイスに適用されます。
- クエリの日付と時刻の範囲を設定するには、
をクリックして範囲を設定します。
[適用]をクリックします。範囲を設定しない場合、クエリは使用可能なすべてのデータに適用されます。 - [検索]をクリックします。
- クエリ結果を保存して後で[クエリのスナップショット]タブから表示する場合は、結果セクションで
をクリックします。
クエリスナップショットを表示する- [クエリのスナップショット]タブで、クエリをクリックします。
- [検索]をクリックします。なお、これはクエリを保存した時の元の結果を表示します。新しいクエリの結果ではありません。
- クエリ結果で、
メニューを展開して、各結果に対して使用可能なアクションを表示します。結果のタイプに応じて、次のようなアクションがあります。
- フォーカスデータを要求および表示します。
- グローバル隔離ファイル。このファイルは、デバイス詳細の[設定] > [グローバルリスト] > [グローバル隔離]、[保護] > [脅威]、および[脅威]セクションに表示されます。
- ファイルを要求してダウンロードします。他のアーチファクトタイプに関連付けられたファイルについてのパス情報がある場合は、それらのファイルをダウンロードすることもできます。ファイルは、誤って実行されないようにするために、圧縮され、パスワードで保護されています。パスワードは「infected」です。ファイル取得のサイズ制限は 50MB です。アーチファクトとファイルは、CylanceOPTICSにより 30 日間保持されます(この期間は組織のライセンスに基づいて延長できます)。