コンテンツにスキップ

クエリビルダー🔗

Secureworks® Taegis™ XDRのデータレイク検索クエリビルダーを使用すると、演算子を選択し、フィールドを定義して検索条件を絞り込むことで、お客様が定義したクエリに基づいて検出やイベントを検索できます。

クエリビルダーにアクセスするには、以下の手順を実行してください。

  1. Taegis Menuから詳細検索 > データレイク検索に移動します。
  2. クエリビルダータブをクリックします。

データレイク検索ビルダー

検索クエリの作成🔗

XDRの検索文法では、検索クエリに条件を追加して絞り込むことができます。イベントクエリの場合、クエリビルダーでは複数のイベントタイプを選択できます。その後、必要に応じて条件を追加し、検索範囲をさらに絞り込むことができます。必要なだけ多くの条件を追加できます。

新しい条件や演算子を追加すると、クエリビルダーの下部にあるグレーのテキストでクエリのビジュアル表現が更新されます。この表現は、ビルダー形式または詳細検索クエリ言語形式で切り替えて表示できます。詳細については、クエリエディターを参照してください。

注意

検索クエリに入力したテキストは大文字・小文字を区別しません。

データレイク検索

データレイク検索では、現在、一度に1つのデータタイプ(検出またはイベント)のみ検索できます。ビルダーで検索を作成する際は、データソースドロップダウンメニューのチェックボックスから検出または1つ以上のイベントスキーマを選択する必要があります。スキーマのリファレンスについては、スキーマを参照してください。

データソースドロップダウン

検索ルール🔗

各検索ルールは、1つ以上の条件で構成されるクエリです。検索ルールが複数の条件で構成されている場合、それらにはANDロジックが適用され、すべての指定した条件が一致した場合のみ結果が返されます。

論理型🔗

論理型は、特定のフィールドカテゴリに対応するデータスキーマのフィールド名にマッピングされる特別なフィールドです。論理型を使用することで、各スキーマごとに個別のフィールド名を覚えて指定する必要がなくなります。論理型は @ プレフィックスで示されます。@<論理型名> で指定すると、関連するすべてのイベントフィールドが自動的に検索されます。利用可能な論理型のリファレンスについては、論理型を参照してください。

ビルダーで論理型を選択

ネストされたクエリ🔗

ネストされたクエリを使用すると、複数の検索ルールをグループ化して、より複雑な検索を作成できます。作成するには、+ グループを追加をクリックし、ルールのグループを作成してください。

ネストされたクエリと一致条件(AND/OR)🔗

ネストされたクエリのうち_いずれか_に一致させたい場合はORを、_すべて_に一致させたい場合はANDを選択してください。

注意

クエリの意図したネストレベルにAND/ORの選択が適用されていることを、ルールビルダーの色付きラインで確認してください。

ネストされたクエリの使用

検出を条件に用いたイベント検索🔗

detection.resource_idフィールドを使用して、検出が発生したイベントを特定し、検出の有無に基づいてイベント検索を絞り込むことができます。detection.resource_idフィールドは、以下の演算子をサポートしています。

  • is
  • is not null
  • in
  • contains

これらの演算子でdetection.resource_idを使用した検索は、検出が発生したイベントのみを返し、セキュリティ関連イベントの特定を容易にします。

検出を条件に用いたイベント検索

以下の例を活用して、検出が発生したセキュリティ関連イベントを効率的に絞り込み、特定することで、潜在的な脅威の監視と対応能力を強化できます。

🔗

以下の検索例は、XDRのデータレイク検索ビルダーで利用できます。これらはデータの検索やフィルタリング方法の一例です。

複数イベント検索🔗

複数のイベントタイプを同時に検索するには、データソースドロップダウンメニューの左側にあるチェックボックスで希望するタイプを選択してください。

複数イベントタイプの選択

Example

特定IPのNetflowおよびAuthイベントを検索する例:

[Type: auth,netflow AND @ip: is: {IP address}]

検出を条件に用いたイベント検索の例🔗

以下の検索例を活用して、検出が発生したセキュリティ関連イベントを効率的に絞り込み、特定することで、潜在的な脅威の監視と対応能力を強化できます。

注意

検出のJSONビューでdetection resource IDを確認できます。

検出が発生したAuthイベントを検索する例:

[Type: auth AND detection.resource_id: is not: NULL]

部分一致のdetection resource IDでAuthイベントを検索する例:

[Type: auth AND detection.resource_id: contains: cf996f9a-54a2-5cc8-95af-fc438fd911ea]

検出の検索🔗

[Type: detection]
Last 72 Hours

重大度で検出を検索する例
severity条件を選択し、希望する重大度パーセンテージに対応する0から1の値を入力して検索できます。この検索は重大または高の重大度の検出を探します。

[Type: detection AND severity: >=: .6]
Last 72 Hours

特定のインテグレーションの検出を検索する例
検索対象のインテグレーションに対して、typeにdetection、希望するappやdetectionTypeなどを指定してください。

Kerberoasting検出を検索する例:

[Type: detection AND creator: is: app:detect:kerberoasting-detector]

Amazon GuardDutyからの検出を検索する例:

[Type: detection AND detectionType: is: aws_guard_duty]