Query pivot

Le query pivot consentono di eseguire rapidamente nuove query in base ai risultati di Live Discover.

Una query pivot consente di selezionare una parte significativa di dati nei risultati della query e di utilizzarla come base per una nuova query.

È possibile vedere dove sono disponibili query pivot cercando l'icona con i puntini di sospensione Icona con i puntini di sospensione accanto alle celle, nella tabella dei risultati delle query.

Ecco un esempio:

  1. Si esegue una query per trovare PID e reputazione Sophos di tutti i processi in esecuzione.

    Il Sophos PID è un ID processo univoco.

    Nei risultati, si nota un processo sospetto.
  2. Per vedere dove è in esecuzione questo processo, occorre cercare dati di identificazione su cui è possibile basare una nuova query.
  3. Nella colonna SHA-256, viene visualizzata l'icona dei tre puntini di sospensione icona dei tre puntini di sospensione e vi si clicca sopra.
  4. Il menu pivot elenca le query pivot disponibili. Si clicca su Attività di processo per uno SHA-256 (Data Lake).

    La funzionalità pivot permette di passare da una query nel Data Lake a una query su endpoint o viceversa.

    Screenshot delle opzioni di una query pivot

Viene creata una nuova query che mostrerà tutti i processi in esecuzione che condividono questo SHA-256.