クエリの編集または作成
事前に準備した Live Discover クエリを編集したり、独自のクエリを作成したりできます。
クエリは、基本的な SQL (Structured Query Language) コマンドを使用する osquery で記述されます。クエリを編集するには、osquery または SQL に精通している必要があります。
osquery の詳細は、osquery スキーマを参照してください。
また、Sophos Email のデータや Sophos Cloud Optix のデータなど、クエリに含めるデータソースについて、ソフォスのスキーマも確認する必要があります。詳細は、Data Lake スキーマを参照してください。
Sophos Community を使用してクエリを共有したり、既存のクエリを微調整したりすることをお勧めします。Live Discover Query Forum を参照してください。
クエリを編集または作成するには、次の手順を実行します。
- 「脅威解析センター」を参照して、「Live Discover」をクリックします。
-
「Live Discover 」で、「デザイナーモード」をオンにします (まだオンにしていない場合)。これによって、クエリを編集または作成できます。
-
「クエリ」セクションで、次のいずれかの手順を実行します。
- クエリを編集するには、カテゴリに移動して、対象とするクエリを選択します。そして、「編集」をクリックします。
- クエリを作成するには、「新しいクエリの作成」をクリックします。
-
編集画面で、次の手順に従ってクエリの内容を作成します。手順は、クエリを編集する場合も作成する場合も同じです。
- クエリの名前、カテゴリ、および説明を入力します。
-
クエリを実行するソースを選択します。
- Data Lake。Data Lake 内のエンドポイントデータ、および Data Lake にデータを送信するように設定した他のソフォス製品 (Sophos Cloud Optix または Sophos Email) からのデータが得られます。
- ライブエンドポイント。接続されているエンドポイントに関する結果のみが表示されます。
「ライブエンドポイント」を選択した場合は、対象にする OS を選択します。
-
「SQL」ボックスに新しいクエリを入力するか、既存のクエリに加える変更を入力します。
選択したデバイスで実行するクエリには、少なくとも 15文字以上を指定してください。
使用可能なテーブルおよびデータの詳細は、osquery スキーマを参照してください。
-
クエリに変数を追加し、その変数に値を割り当てることができます。その後、条件付きステートメントなどで、この値を使用できます。これには、次の手順を実行します。
- 変数エディタを展開します。
- 「+ 変数の追加」をクリックします。
-
変数の名前を入力します。
名前にスペースを含めることはできますが、ドル記号を含めることはできません。
-
クエリの実行時に使用する変数の種類と値を指定します。
- 「SQL」ボックスで、変数を使用する場所に、SQL 変数名 (必要に応じてドル記号も含めます) を入力します。
たとえば、変数名として「
File path」を入力すると、「SQL 変数名」として「$$File path$$」が表示されます。「SQL」ボックスに「
$$File path$$」と入力します。SELECT * FROM processes WHERE filepath = $$File path$$ -
「ライブエンドポイント」クエリを設定する場合は、「デバイスのセレクタ」を開いて、クエリするデバイスを選択します。
「Data Lake」クエリの場合、デバイスを選択する必要はありません。すべてのデバイスは自動的に含まれています。
-
任意:Data Lake クエリを設定する場合は、矢印をクリックして「期間の選択」を開き、クエリする期間を選択します。
これは、スケジュールを設定するオプションではありません。クエリを実行する頻度ではなく、クエリの対象となる過去の期間を指定するものです。
注
クエリは 30日以内の期間でのみ実行できます。より長い期間をクエリするには、複数のクエリを作成します。たとえば、90日間の場合、過去 0 ~ 30日、31 ~ 60日、61 ~ 90日のクエリを作成します。
-
「保存」をクリックします。クエリは、指定したカテゴリに保存されます。