カスタム ピボットオプション

Live Discover でピボットオプションをカスタマイズできます。

制約事項 スーパー管理者や管理者であるか、Endpoint Protection または Server Protection に対するフル管理者権限が必要です。

Live Discover では、クエリ結果のデータ項目を選択して、今後、ピボットクエリ、アクション、エンリッチ化を実行する際の基盤に使用できます。

エンリッチ化によって、サードパーティ Web サイトが開き、検出した潜在的な脅威に関する情報を参照できます。

ソフォスでは、事前定義されたピボットクエリとエンリッチ化を提供しています。ただし、表示されるオプションをカスタマイズしたり、独自のオプションを追加したりできます。

現在、追加できるのはカスタムエンリッチ化のみです。

カスタムエンリッチ化の追加

エンリッチ化を追加する方法は次のとおりです。
  1. 概要 > 脅威解析センター > Live Discover」を参照します。

    「Live Discover」メニュー
  2. Live Discover の設定」で、「Live Discover のカスタマイズ」をクリックします。

    「Live Discover の設定」メニュー
  3. エンリッチ化」タブには、ソフォスまたは管理者によって作成されたかどうかに関わらず、すべてのエンリッチ化が表示されます。「エンリッチ化の追加」をクリックします。

    「エンリッチ化」タブ
  4. エンリッチ化の追加」ダイアログで、次の手順を実行します。
    1. データタイプ」を入力します。これは、クエリの結果で参照するデータです。たとえば、IP アドレスなどです。
    2. 表示名」を入力します。これは、結果のデータの横にある省略記号アイコン 省略記号アイコン をクリックすると、メニューに表示されます。
    3. 説明」を入力します。
    4. 開く Web ページの「URL」を入力します。

      この例で URL は www.virustotal.com/gui/ip-address/$$ipAddress$$ です。

      www.virustotal.com は Web サイトです。

      gui/ip-address/ は、IP アドレスを参照するページです。

      $$ipAddress$$ は、参照する IP で置き換えられる SQL 変数です。この変数は、URL フィールドの上の注記に表示されます。

    5. URL のテスト」をクリックします。
    6. 保存」をクリックします。

    「エンリッチ化の追加」ダイアログ

これで、追加したエンリッチ化が、「エンリッチ化」タブに表示されます。

カスタムエンリッチ化の編集または削除

自分 (または別の管理者) が作成したエンリッチ化のみを編集または削除できます。ソフォスが事前に定義したエンリッチ化を変更することはできません。

エンリッチ化を編集するには、次の手順を実行します。

  1. 概要 > 脅威解析センター > Live Discover」を参照して、「Live Discover のカスタマイズ」をクリックします。

    「Live Discover の設定」メニュー
  2. エンリッチ化」 タブで、対象とするエンリッチ化を探します。「アクション」列で、3つのドットアイコンをクリックし、「エンリッチ化の編集」または「エンリッチ化の削除」を選択します。

    「エンリッチ化」ページとアクションメニュー
  3. エンリッチ化の編集」を選択した場合は、カスタムエンリッチ化の追加の説明に従って設定を入力します。