ピボットサーチ

ピボットサーチを使用すると、Secureworks® Taegis™ XDR内の検出やイベントを特定の検索語で迅速に検索できます。その後、検出および複数の種類のイベントの結果が返されます。

ピボットサーチを開始

注意

検出は任意の期間で検索できます。

ただし、イベント データは異なる扱いとなり、31日以内の任意の期間で検索できます。イベントデータは、詳細検索で検出以外のTypeを選択するか、クイックサーチから検索できます。これらの方法でイベントデータを検索する場合、カスタム日付ピッカーで検索期間を指定できます。このカスタム日付ピッカーでは、アカウントがデータを保持している任意の開始日を選択できます。ただし、検索期間の終了日を選択する際は、開始日と終了日の差（日数）が31日以内である必要があることに注意してください。

ピボットサーチは、イベントや検出のタイムスタンプの前後のデータをクエリするように設計されています。デフォルトでは、ピボットサーチは元のタイムスタンプから24時間以内の結果を検索します。つまり、イベントや検出のタイムスタンプの24時間前と24時間後、合計48時間の検索ウィンドウとなります。

ヒント

ピボットサーチを表示するには、XDR内のさまざまな検出の詳細（ソースIPやユーザー名など）にカーソルを合わせ、隣に表示される虫眼鏡アイコンを選択してください。

ピボットサーチの実行

ピボットサーチを実行するには、XDR内のさまざまな検出の詳細（ソースIPやユーザー名など）にカーソルを合わせ、虫眼鏡アイコンを選択します。

これにより、結果がテーブルで表示されるピボットサーチフォームが表示されます。検索結果のタブ（ProcessイベントやAuthイベントなど）をクリックして、それぞれの検索結果を確認できます。

ピボットサーチページ上では、検索するフィールドや時間枠を変更して、検索クエリをさらに編集できます。

ヒント

ピボットサーチの元となった検出を表示したい場合は、ピボットサーチのタイトル下にある、ソース検出のタイトルとタイムスタンプの横の詳細を表示を選択してください。

ピボットサーチのソース検出

ピボットサーチから詳細検索を実行

各タブでは、詳細検索で同じクエリを開いて編集できます。詳細検索では、クエリをさらにカスタマイズするためのオプションが増えます。

これを行うには、検索結果テーブルの上にある外部リンクアイコン（）を選択します。事前入力された詳細検索クエリが新しいタブで開き、パラメータをさらに調整したり、検索を保存したりできます。

ピボットサーチから詳細検索を実行