コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=ai-search

AI 検索

この機能を使用するには、AI の新機能のアーリー アクセス プログラムに参加する必要があります。

AI 検索によって、SQL クエリを書かずに Sophos Data Lake のデータを検索できます。

AI 検索機能は、Data Lake に保存された検出結果やエンドポイントデータを探し出すことができます。感染の痕跡 (IoC)、または IP アドレス、ユーザー名、ファイル、エンドポイントアクティビティなどの他のデータを検索できます。

AI 検索は、入力した自然言語の質問に基づいて、実行可能なクエリを提案したり、クエリを構築したりします。SQL クエリを書く必要はありません。

クエリの実行

ソフォスが提案するクエリを使用するか、独自のクエリを作成することができます。

提案されたクエリの使用

提案されたクエリを使用するには、次の手順を実行します。

  1. 脅威解析センタ- > AI 検索」に移動します。

  2. ページの左側にあるメニューで、検索するデータを選択します。

    • 検出」では、脅威検出でデータをクエリできます。
    • エンドポイントデータ」では、デバイスに関する情報やその上での活動状況を検索することができます。

    検索の種類のドロップダウンメニュー。

  3. Sophos Central にサインインして AI 検索を初めて開いた場合は、検索バーの下に提案されたクエリが表示されます。

    提案内容は、事前設定されたクエリのリストからランダムに選択されます。

    AI 検索ページを開くたびに、提案されたさまざまなクエリが表示されます。詳細を表示するには、ページを更新します。

    提案されたクエリ。

  4. クエリをクリックします。

    検索バーにクエリが表示されたら、必要に応じて修正できます。たとえば、クエリの最後に "in the last 30 days"(過去 30日間) のような時間範囲を入力できます。

  5. 検索」をクリックします。

    クエリが実行され、結果が表に表示されます。

    • この表は最大 1,000件の結果を表示できます。
    • データは 90日間保持されます (または Central Data 1-Year Storage Pack アドオン ライセンスをお持ちの場合は 1年間)。

クエリの作成

独自のクエリを作成するには、次の手順を実行します。

  1. 脅威解析センタ- > AI 検索」に移動します。

  2. ページの左側にあるメニューで、検索するデータを選択します。

    • 検出」では、脅威検出でデータをクエリできます。
    • エンドポイントデータ」では、デバイスに関する情報やその上での活動状況を検索することができます。

    検索の種類のドロップダウンメニュー。

  3. 検索バーに独自にクエリを入力します。

    顧客が入力したクエリー。

  4. 検索」をクリックします。

    クエリが実行され、結果がテーブルに表示されます。

    • この表は最大 1,000件の結果を表示できます。
    • データは 90日間保持されます (または Central Data 1-Year Storage Pack アドオン ライセンスをお持ちの場合は 1年間)。

後でクエリを再度使用する場合は、保存します。後で「AI検索」ページまたは「Live Discover」でそのクエリを実行できます。詳細は、クエリの保存を参照してください。

クエリの SQL 構文を表示するには、「生成されたクエリ」セクションを展開します。

生成されたクエリ SQL の詳細。

時間範囲の設定

デフォルトでは、クエリの時間範囲は 24時間です。

時間範囲を変更するには、検索バーのクエリに "in the past 7 days"(過去 7日間) などの時間範囲を含めます。

提案されたクエリに時間範囲を追加するか、独自のクエリの文言に含めることができます。

時間範囲の推奨事項

エンドポイントモニタリングでは、大量のデータを生成することがあります。そのため、幅広い時間範囲に及ぶクエリは、パフォーマンスに大きな影響を与える可能性があります。最適な結果を得るには、次の手順を実行します。

  • 狭い範囲から開始する: 必要な最短の時間範囲から開始します。この場合には、数時間から最長 1日程度に及ぶ可能性があります。
  • 徐々に時間範囲を拡大する: 必要なものが見つからない場合にのみ、時間範囲を増やします。
  • 具体的に指定する: 可能な限り、自然言語クエリに正確な時間制限を含めます。例: "過去 4時間" (Last 4 hours)。指定しない場合はデフォルト値が適用されます。
  • クエリの遅延やタイムアウトに注意する: 長時間のクエリでは、データ量によってタイムアウトや極端な遅延が発生する場合があります。

クエリの保存

クエリを保存して、再利用できるようにします。以下のいずれかを実行してクエリを保存します。

  • クエリをクリップボードにコピーします。「生成されたクエリ」セクションを展開し、ページの右側にあるコピーアイコン コピーアイコン。 をクリックします。

  • クエリの保存」をクリックします。これにより、クエリが Live Discover の「AI 検索」という新しいカテゴリに保存され、後で実行できるようになります。詳細は、Live Discoverを参照してください。

  • エクスポート」をクリックします。これにより、クエリの SQL 構文とクエリ結果が CSV 形式でエクスポートされます。CSV ファイルは、デフォルトのダウンロードフォルダに自動的にダウンロードされます。

クエリの結果

ページ下部のテーブルにクエリ結果が表示されます。

クエリの結果。

詳細情報

クエリ結果に表示される検出またはデバイスの詳細情報を参照できます。

検出の詳細を表示するには「検出ルール」列のリンクをクリックします。これは、脅威解析センターの「検出」ページと同じ詳細情報を表示します。詳細は、検出を参照してください。

デバイスの詳細を表示するには、「ホスト名」列でデバイス名をクリックします。