ピボットサーチ

ピボットサーチを使用すると、Secureworks® Taegis™ XDR内の検出やイベントを特定の検索語で迅速に検索できます。その後、検出および複数のイベントタイプの結果が返されます。

ピボットサーチの開始

注意

検出は任意の期間で検索できます。

ただし、イベント データは異なる扱いとなり、31日以内の任意の期間で検索できます。イベントデータは、詳細検索で検出以外のTypeを選択するか、クイックサーチから検索できます。これらの方法でイベントデータを検索する場合、カスタム日付ピッカーで検索期間を指定できます。このカスタム日付ピッカーでは、アカウントがデータを保持している任意の開始日を選択できます。ただし、検索期間の終了日を選択する際は、開始日と終了日の差（日数）が31日以内である必要があることに注意してください。

ピボットサーチは、イベントや検出のタイムスタンプの前後のデータをクエリするように設計されています。デフォルトでは、ピボットサーチは元のタイムスタンプから24時間以内の結果を検索します。つまり、イベントや検出のタイムスタンプの24時間前と24時間後、合計48時間の検索ウィンドウとなります。

ピボットサーチの実行

ピボットサーチを実行するには、XDR内の検出の詳細（ソースIPやユーザー名など）にカーソルを合わせ、虫眼鏡アイコンをクリックします。

ピボットサーチのフォームがドロワーで開き、結果のテーブルが表示されます。検索結果のタブ（ProcessイベントやAuthイベントなど）をクリックして、それぞれの検索結果を確認できます。

ピボットサーチ画面では、さらに異なるフィールドや時間枠を選択して検索クエリを編集できます。

ヒント

ピボットサーチの元となった検出を表示したい場合は、フォーム上部のソース検出の横にある詳細を表示をクリックしてください。

ピボットサーチのソース検出

ピボットサーチから詳細検索を実行

各結果タブでは、クエリエディタで基となるクエリを開いて編集できます。クエリエディタでは、クエリをさらにカスタマイズするためのオプションが用意されています。

そのためには、結果テーブル上部のクエリの横にある新しいタブアイコン をクリックします。事前入力されたクエリが新しいタブのクエリエディタで開き、パラメータの調整や検索の保存が可能です。

ピボットサーチから詳細検索を実行