クエリの編集または作成

事前に準備した Live Discover クエリを編集したり、独自のクエリを作成したりできます。

クエリは、基本的な SQL (Structured Query Language) コマンドを使用する osquery で記述されます。クエリを編集するには、osquery または SQL に精通している必要があります。

osquery の詳細は、osquery スキーマを参照してください。

また、ソフォスのスキーマも確認する必要があります。

クエリを編集または作成するには、次の手順を実行します。

  1. 概要 > 脅威解析センター」に移動して、「Live Discover」をクリックします。
    「Live Discover」メニュー
  2. Live Discover 」で、「デザイナーモード」をオンにします (まだオンにしていない場合)。これによって、クエリを編集または作成できます。
    「デザイナーモード」オプション
  3. クエリ」セクションで、次のいずれかの手順を実行します。
    • クエリを編集するには、カテゴリに移動して、対象とするクエリを選択します。そして、「編集」をクリックします。
    • クエリを作成するには、「新しいクエリの作成」をクリックします。
    「新しいクエリの作成」ボタン
  4. 編集画面で、次の手順に従ってクエリの内容を作成します。手順は、クエリを編集する場合も作成する場合も同じです。
    クエリの詳細ダイアログのスクリーンショット
  5. クエリの名前、カテゴリ、および説明を入力します。
  6. クエリを実行するソースを選択します。
    • Data Lake。Data Lake 内のエンドポイントデータ、および Data Lake にデータを送信するように設定した他のソフォス製品 (Sophos Cloud Optix または Sophos Email) からのデータが得られます。
    • ライブエンドポイント。接続されているエンドポイントに関する結果のみが表示されます。

    ライブエンドポイント」を選択した場合は、対象にする OS を選択します。

  7. SQL」ボックスに新しいクエリを入力するか、既存のクエリに加える変更を入力します。

    選択したデバイスで実行するクエリには、少なくとも 15文字以上を指定してください。

    使用可能なテーブルおよびデータの詳細は、osquery スキーマを参照してください。

  8. クエリに変数を追加し、その変数に値を割り当てることができます。その後、条件付きステートメントなどで、この値を使用できます。これには、次の手順を実行します。
    1. 変数エディタを展開します。
    2. + 変数の追加」をクリックします。
    3. 変数の名前を入力します。

      名前にスペースを含めることはできますが、ドル記号を含めることはできません。

    4. クエリの実行時に使用する変数の種類と値を指定します。
    5. SQL」ボックスで、変数を使用する場所に、SQL 変数名 (必要に応じてドル記号も含めます) を入力します。

    たとえば、変数名として「File path」を入力すると、「SQL 変数名」として「$$File path$$」が表示されます。

    SQL」ボックスに「$$File path$$」と入力します。

    SELECT * FROM processes
    WHERE filepath = $$File path$$
  9. 保存」をクリックします。
    クエリは、指定したカテゴリに保存されます。