ピボットクエリ

ピボットクエリを使用すると、Live Discover の結果に基づいて、新しいクエリをすばやく実行できます。

ピボットクエリでは、クエリの結果にある重要なデータを選択し、それを新しいクエリのベースとして使用できます。

ピボットクエリが使用できる項目を確認するには、クエリの結果テーブルのセルの横にある省略記号アイコン 省略記号アイコン を探します。

次に例を示します。

  1. 実行中のプロセスすべての Sophos PID およびレピュテーション」を探すクエリを実行します。

    Sophos PID は固有のプロセス ID です。

    結果に、疑わしいプロセスが表示されます。
  2. そのプロセスが実行されている他の場所を確認するには、新しいクエリの基にする識別用データを探します。
  3. SHA-256」列に省略記号アイコン 省略記号アイコン が表示されているので、それをクリックします。
  4. ピボットメニューに、使用可能なピボットクエリの一覧が表示されます。「SHA-256 のプロセスのアクティビティ (Data Lake)」をクリックします。

    ピボットすると、Data Lake クエリからエンドポイントクエリに移動したり、その逆方向に移動したりできます。

    ピボット クエリ オプションのスクリーンショット

選択した SHA-256 を持つ、実行中のプロセスすべてを表示する新しいクエリが作成されます。