CELエクスプローラー🔗
注意
Taegis XDRでは、Alerts および Investigations という用語が、最近 検出 および ケース に変更されました。SophosとTaegisテクノロジーのプラットフォーム統合作業が進行中のため、引き続き旧用語が参照されている場合があります。詳細については、Taegis用語の更新をご覧ください。
XDRは、複数の領域でGoogleのCommon Expression Language (CEL)の利用をサポートしています。
- 自動化コネクター、プレイブック入力、プレイブックトリガー、テンプレート内でロジックやデータ操作を埋め込むため
- 自動ケーステンプレートやルールを洗練させるため
CELエクスプローラーを使用すると、特定の入力タイプに対してCEL式をテストし、その式の結果を確認できます。サポートされている入力タイプは以下の通りです。
- 検出
- 資産(エンドポイント)
- エンティティ
- ケース
- プレイブック実行
サポートされている入力タイプのインスタンスへの共有リンクを提供することで、そのオブジェクトのデータを表示し、CELステートメントの作成時にテストに利用できます。
CELエクスプローラーへのアクセス🔗
CELエクスプローラーには、複数の方法でアクセスできます。
- Taegis Menuから、ツール → CELエクスプローラーを選択します。
-
検出、エンドポイント、エンティティ、ケース、またはプレイブック実行の詳細ページから、アクションメニューを選択し、CELエクスプローラーで表示を選択します。
CELエクスプローラー
ヒント
詳細ページからCELエクスプローラーにアクセスすると、リソースタイプとIDが自動的に関連する入力に設定されます。
CELエクスプローラーの使用方法🔗
CEL式の結果を評価するには、以下の手順に従ってください。
- ドロップダウンメニューから希望するリソースタイプを選択します。
-
テストしたい入力インスタンスの共有リンクをリソースIDフィールドに貼り付けます。
-
テストしたいCEL式をCEL式フィールドに貼り付けるか入力します。CEL、サポートされているマクロ、例については追加リソースを参照してください。
ヒント
CELエクスプローラーは、アラート、ケース、エンティティの選択したリソースタイプに応じて、CELマクロのコンテキスト認識型オートコンプリートを提供します。入力中に関連するマクロが提案され、CELエクスプローラー内で直接式に挿入できます。
-
実行を選択して、入力に対してCEL式を評価します。