ピボットクエリ
ピボットクエリを使用すると、Live Discover の結果に基づいて、新しいクエリをすばやく実行できます。
ピボットクエリでは、クエリの結果にある重要なデータを選択し、それを新しいクエリのベースとして使用できます。
ピボットクエリが使用できる項目を確認するには、クエリの結果テーブルのセルの横にある省略記号アイコン を探します。
次に例を示します。
-
「実行中のプロセスすべての Sophos PID およびレピュテーション」を探すクエリを実行します。
Sophos PID は固有のプロセス ID です。
結果に、疑わしいプロセスが表示されます。
-
そのプロセスが実行されている他の場所を確認するには、新しいクエリの基にする識別用データを探します。
- 「SHA-256」列に省略記号アイコン が表示されているので、それをクリックします。
-
ピボットメニューに、使用可能なピボットクエリの一覧が表示されます。「SHA-256 のプロセスのアクティビティ (Data Lake)」をクリックします。
ピボットすると、Data Lake クエリからエンドポイントクエリに移動したり、その逆方向に移動したりできます。
選択した SHA-256 を持つ、実行中のプロセスすべてを表示する新しいクエリが作成されます。