コンテンツにスキップ

保存済み検索🔗

クエリ言語またはビルダーを使用する場合でも、お客様や組織内の他のユーザーが保存した詳細検索クエリは、詳細検索の保存済み検索パネルで利用できます。

保存済み検索を表示

保存済み検索パネルはどこにありますか?🔗

Taegis Menuから詳細検索を選択し、詳細検索クエリビルダーまたはクエリ言語入力フィールドの下にある保存済み検索を選択します。

詳細検索クエリを保存する🔗

詳細検索クエリを保存するには:

  1. 検索クエリを作成します。
  2. 検索を保存を選択します。
  3. 検索の名前を入力します。

  4. 検索を保存を選択します。保存済み検索パネルに追加されます。

    詳細検索を保存

注意

保存済み検索の結果は29日間保持されます。ただし、保持ポリシーで説明されている検知およびイベントの保持期間内であれば、同じ検索を再度実行することで元の検知やイベントを見つけることができる場合があります。

自分の保存済み検索を表示する🔗

保存済み検索パネルはデフォルトで自分のクエリビューが表示されます。ここにはお客様が保存したすべての詳細検索クエリが表示されます。

自分の保存済み検索を表示

すべての保存済み検索を表示する🔗

現在選択しているテナント内で他のユーザーが保存した詳細検索クエリも含めて、すべての詳細検索クエリを表示するには、保存済み検索パネルの上部で組織全体を選択します。

すべての保存済み検索を表示

保存済み検索をフィルタリングする🔗

保存済み検索が多数あり、特定の検索や種類を探している場合は、「保存済み検索を検索」フィールドに用語を入力してください。リストの項目が入力した条件に絞り込まれます。

注意

「保存済み検索を検索」フィールドは大文字と小文字を区別します。

ヒント

探している保存済み検索クエリやクエリの任意の用語や一部を入力できます。たとえば、host_idを使用しているすべての保存済みクエリを探している場合、host_id または host をフィルターに入力することで見つけることができます。

保存済み検索をフィルタリング

保存済み検索を並べ替える🔗

保存済み検索を並べ替え

保存済み検索リストは以下で並べ替えできます:

  • 最新順 — (デフォルト)最も最近実行された検索クエリ
  • 名前 — 検索クエリのタイトル
  • 作成者 — 検索作成者のユーザー名
  • 作成日 — 新しい順から古い順の検索クエリ

保存済み検索パネルで目的のクエリの虫眼鏡( )を選択して、保存済み検索を実行します。

保存済み検索を実行

保存済み検索クエリを詳細検索エディターに読み込んで編集するには:

  1. 保存済み検索パネルで目的のクエリのオーバーフローメニューアイコンを選択し、クエリエディター/ビルダーで読み込むを選択します。

    保存済み検索を編集

  2. クエリが詳細検索エディターに表示されます。必要な変更を行ってください。

  3. 変更を保存したい場合は、保存を選択します。新しい保存済み検索として保存するように求められます。

ヒント

検索を実行した後、検索結果の上部バーにある編集アイコン( )を選択して、保存済み検索を編集することもできます。

注意

他のユーザーの保存済み検索を上書きすることはできません。他のユーザーの検索を変更して保存したい場合は、自分の新しい保存済み検索として保存する必要があります。

保存済み検索をケースに追加する🔗

保存済み検索をケースに追加するには、以下の手順を実行します。

  1. Taegis XDRメニューから詳細検索を選択します。詳細検索が表示されます。
  2. 保存済み検索を選択し、マイクエリまたはマイオーガニゼーションからケースに追加したい保存済み検索を探します。

  3. 目的のクエリのオーバーフローメニューアイコンを選択し、新規ケースの作成を選択して検索クエリを新しい空のケースに追加するか、ケースに追加を選択して検索クエリを既存のケースに追加します。

    クエリをケースに追加

  4. 希望するオプションのプロンプトに従い、送信を選択して検索クエリを追加します。

注意

この操作を行うと、ケースには元の検索クエリへのリンクが含まれます。検索結果のコピーは作成されません。また、元の検出やイベントデータのコピーも作成されず、検出やイベントの保持ポリシーも変更されません。

この機能の詳細については、保存済み検索をケースにリンクするを参照してください。

データ保持ポリシー🔗

Secureworksは、イベントおよび検出データをデータ受領日から12か月間保持します。その他のデータに関する事項については、Secureworks Cloud Services Interface プライバシーステートメントをご参照ください。

保存済み検索パネルから保存済み検索クエリを削除するには:

  1. 保存済み検索パネルで目的のクエリのオーバーフローメニューアイコンを選択し、削除を選択します。

  2. 保存済み検索が削除されます。

    保存済み検索を削除

テナント内の他のユーザーと保存済み検索クエリを共有するには:

  1. 保存済み検索パネルで目的のクエリの共有( )アイコンを選択すると、クエリへのリンクがクリップボードにコピーされます。

  2. コピーしたURLを、このテナントにアクセスできる他のユーザーと共有してください。

    保存済み検索を共有

注意

クエリを共有する相手は、XDRユーザーであり、保存済み検索が属するテナントのアカウントを持っている必要があります。