コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=global-search

検索

この機能を使用するには、EAP に参加する必要があります。

Sophos Data Lake で、特定のエンドポイントのデータを確認できます。

感染の痕跡 (IoC)、または IP アドレスやユーザー名などの他のデータを検索できます。

検索の作成には、クエリ言語、Lucene を使用します。詳細は、Lucene チュートリアルを参照してください。

検索ページ

脅威解析センタ- > 検索」に移動します。

右側のペインでは、検索を作成して実行し、一致する結果のリストを表示できます。

左側の「スキーマ」ペインには、検索で使用できるデータフィールドが表示されます。また、結果で表示する列を追加、削除、または並べ替えることもできます。

脅威解析センターの検索ページ

検索の作成と実行

検索を作成して実行するには、次の手順を実行します。

  1. 脅威解析センタ- > 検索」に移動します。
  2. 検索する検出の時間範囲を選択します。

  3. 「@ を入力してオートコンプリート」と表示されている検索バーに検索を入力します。

    1. 「@」と入力し、検索に含めるデータフィールドの名前の入力を開始します。一致するフィールドのリストが表示されます。

    2. データフィールド、さらにそれに続けてコロンを入力した後、検索パラメータを入力します。複数のデータフィールドを含めることができます。次に例を示します。

      hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP

      command_line:mimikatz

    または、フリーテキストの入力機能を使用して、独自の検索文字列を入力することもできます。詳細は、検索の構築方法を参照してください。

    検索バー

  4. 必要に応じて、左側のペインで、結果に表示するデータフィールドを選択します。「使用可能な列」にある名前をクリックして「表示する列」に追加し、結果に表示されるようにします。

    詳細は、列の追加、削除、並べ替えを参照してください。

    「データフィールド」リスト

  5. 検索」をクリックします。下部ペインに結果が表示されます。

    検索結果

  6. 検出の詳細を表示するには、各検索の横にある矢印をクリックします。現在、詳細は JSON テーブルに表示されます。

    検出の詳細

現在、検索を保存することはできません。

結果の検出に対してアクションを実行することはできません。今後のリリースでは、検出を選択して、脅威解析センターの調査に追加できるようになります。

検索の構築方法

ソフォスのデータフィールドを使用するか、独自のテキストを入力して検索を構築します。

データフィールドとパラメータ

データフィールド (左側のペインに表示されているフィールドのいずれか) を入力し、それに続けてコロン、および検索パラメータを入力します。

複数のデータフィールドを使用して検索を作成できます。次に例を示します。

process_name:lsass AND username:admin OR username:system

event_id:4100 OR event_id:4013 OR event_id:4104 NOT username:"help desk"

sha1:0a43ff3773e7fcbb9a98029957c41bc3af56ae94 AND dest_ip:"1.2.3.4"

hostname:sys1 OR hostname:sys2 OR hostname:sys3 AND protocol:RDP

command_line:mimikatz

run_as_username:system OR run_as_username:admin

フリーテキストの入力

文字列を入力して、それを含む検出を検索します。特殊文字を含む MAC アドレスや IP アドレスなどの文字列の場合は、フリーテキスト検索で引用符を使用します。

次に例を示します。

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

結果のフィルタリング

最も関心のある結果のみを表示するには、次の手順を実行します。

  1. フィルタの追加」をクリックします。

    フィルタオプションの追加

  2. クイックフィルタ」に、結果をフィルタリングする文字列を入力します。

    クイックフィルタダイアログ

結果の列の変更

結果のデフォルトの列をそのまま使用するか、変更して並べ替えることができます。

デフォルトの列

デフォルトでは、結果に次の列が表示されます。

詳細
time -
category 例: 「network」
activity_type 例: 「open sockets」
hostname -
username サーバーなどで、ユーザーがサインインしていない場合は表示されません
device_IP -
device_mac MAC アドレス
device_type 例: クライアントまたはサーバー
device_make 例: Windows または macOS

列の追加、削除、並べ替え

結果に表示されるデータの列を変更または並べ替えることができます。

列のセレクタ

左側のペインの「表示する列」には、現在、結果に表示されている列が表示されます。「使用可能な列」には、追加で選択可能な列が表示されます。

列を削除するには、「表示する列」で、その名前の横にあるマイナス記号をクリックします。

列を追加するには、「使用可能な列」で、その名前をクリックします。列は「表示する列」リストに追加され、結果テーブルの最後の列として表示されます。

追加する列を検索するには、「検索」フィールドに名前を入力します。

結果テーブルの列の順序を変更するには、「表示する列」リストにある名前をドラッグして、希望の順序に変更します。