コンテンツにスキップ

クエリの編集または作成

事前に準備した Live Discover クエリを編集したり、独自のクエリを作成したりできます。

クエリは、基本的な SQL (Structured Query Language) コマンドを使用する osquery で記述されます。クエリを編集するには、osquery または SQL に精通している必要があります。

osquery の詳細は、osquery スキーマを参照してください。

また、Sophos Email のデータや Sophos Cloud Optix のデータなど、クエリに含めるデータソースについて、ソフォスのスキーマも確認する必要があります。詳細は、Data Lake スキーマを参照してください。

Sophos Community を使用してクエリを共有したり、既存のクエリを微調整したりすることをお勧めします。Live Discover Query Forum を参照してください。

クエリを編集または作成するには、次の手順を実行します。

  1. 脅威解析センター」を参照して、「Live Discover」をクリックします。
  2. Live Discover 」で、「デザイナーモード」をオンにします (まだオンにしていない場合)。これによって、クエリを編集または作成できます。

    「デザイナーモード」オプション。

  3. クエリ」セクションで、次のいずれかの手順を実行します。

    • クエリを編集するには、カテゴリに移動して、対象とするクエリを選択します。そして、「編集」をクリックします。
    • クエリを作成するには、「新しいクエリの作成」をクリックします。

    「新しいクエリの作成」ボタン。

  4. 編集画面で、次の手順に従ってクエリの内容を作成します。手順は、クエリを編集する場合も作成する場合も同じです。 クエリの詳細ダイアログのスクリーンショット。

  5. クエリの名前、カテゴリ、および説明を入力します。
  6. クエリを実行するソースを選択します。

    • Data Lake。Data Lake 内のエンドポイントデータ、および Data Lake にデータを送信するように設定した他のソフォス製品 (Sophos Cloud Optix または Sophos Email) からのデータが得られます。
    • ライブエンドポイント。接続されているエンドポイントに関する結果のみが表示されます。

    ライブエンドポイント」を選択した場合は、対象にする OS を選択します。

  7. SQL」ボックスに新しいクエリを入力するか、既存のクエリに加える変更を入力します。

    選択したデバイスで実行するクエリには、少なくとも 15文字以上を指定してください。

    使用可能なテーブルおよびデータの詳細は、osquery スキーマを参照してください。

  8. クエリに変数を追加し、その変数に値を割り当てることができます。その後、条件付きステートメントなどで、この値を使用できます。これには、次の手順を実行します。

    1. 変数エディタを展開します。
    2. + 変数の追加」をクリックします。
    3. 変数の名前を入力します。

      名前にスペースを含めることはできますが、ドル記号を含めることはできません。

    4. クエリの実行時に使用する変数の種類と値を指定します。

    5. SQL」ボックスで、変数を使用する場所に、SQL 変数名 (必要に応じてドル記号も含めます) を入力します。

    たとえば、変数名として「File path」を入力すると、「SQL 変数名」として「$$File path$$」が表示されます。

    SQL」ボックスに「$$File path$$」と入力します。

    SELECT * FROM processes
    WHERE filepath = $$File path$$
    
  9. ライブエンドポイント」クエリを設定する場合は、「デバイスのセレクタ」を開いて、クエリするデバイスを選択します。

    Data Lake」クエリの場合、デバイスを選択する必要はありません。すべてのデバイスは自動的に含まれています。

  10. 任意: Data Lake クエリを設定する場合は、矢印をクリックして「期間の選択」を開き、クエリする期間を選択します。

    これは、スケジュールを設定するオプションではありません。クエリを実行する頻度ではなく、クエリの対象となる過去の期間を指定するものです。

  11. 保存」をクリックします。クエリは、指定したカテゴリに保存されます。