高度な SQL クエリ ツールについて

適用対象: WatchGuard Advanced EPDR

高度な SQL クエリ ツールを活用することで、選択したコンピュータまたはネットワークにある他のコンピュータの特定のイベントを検索することが可能となります。高度な SQL クエリ ツールを使用して、過去 7 日間に記録されたテレメトリを確認することができます。

高度な SQL クエリ ツールを使用するには、構造化クエリ言語 (SQL) の使用方法に関する知識があり、Endpoint Security で使用されるデータベース スキーマを理解している必要があります。

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、コンピュータの追加、検出と削除 を行う権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

高度な SQL クエリ ツールを開くには、Endpoint Security 管理 UI で以下の手順を実行します。

  1. コンピュータの詳細を開くには、コンピュータ を選択してから、コンピュータを選択します。
  2. 調査 タブで、Screenshot of the add icon をクリックします。

    3. Screenshot of Advanced SQL Query tool menu

  3. 高度な SQL クエリ を選択します。
    高度な SQL クエリ ツールが開きます。

    4. Screenshot of Advance SQL Query home page

高度な SQL クエリ ツールは、以下のセクションに分かれています。

  • クエリ — テーブルとデータ モデルを表示および選択することができます。
  • 高度な SQL クエリ — クエリを作成することができます。
  • 結果 — クエリの結果が表示されます。

クエリ セクション

ツールのクエリ セクションには、プロセスの監視によって収集された情報の整理のために使用されるデータ モデルが表示されます。

このセクションに示されるテーブルとフィールドを使用して、クエリを作成することができます。フィールドをクリックして、カーソルで示されている位置の 高度な SQL クエリ セクションにそれをコピーします。

Screenshot of the Queries section on the Advanced SQL Queries tool

高度な SQL クエリ セクション

高度な SQL クエリ セクションには、高度な SQL クエリの作成と実行に使用するエディタが含まれています。

高度な SQL クエリを実行するには、以下の手順を実行します。

  1. クエリ エディタで、実行する SQL クエリを指定します。

  2. クエリを実行するには、 をクリックします。

SQL 構文の詳細については、次を参照してください:高度な SQL クエリ構文

結果セクション

結果セクションには、SQL クエリの結果が表形式で表示されます。

Screenshot of the results of Advanced SQL query

結果セクションでは、以下のアクションを実行することができます。

イベント詳細を表示する

結果セクションでは、結果テーブルでコンピュータのテレメトリを確認することができます。

リストに一覧されている項目のイベント詳細を表示するには、以下の手順を実行します。

  1. をクリックしてから、コンピュータの調査 を選択します。
    コンピュータの調査ダイアログ ボックスが開きます。

    2. Screenshot of the investigate computer setting in result section

  2. コンピュータの特定に使用する識別子のチェックボックスを選択して、テキスト ボックスに必要な値を入力します。
    • MUID
    • MD5
    • MUID + MD5
    • コンピュータ名
  3. OK をクリックします。
    指定されているコンピュータのイベント詳細が含まれている新規ページが開きます。

行グループを設定する

詳細の分析を容易にするために、結果セクションで、選択した列の値に基づいて、項目のグループを作成することができます。

グループを作成するには、以下の手順を実行します。

  1. ここにドラッグして行グループを設定する バーに列をドラッグします。たとえば、日付 列をドラッグすることができます。
    選択されている列のグループが作成されます。

  1. (オプション) 既存のグループ内に他の列のグループを作成するには、ここにドラッグして行グループを設定する バーに追加の列をドラッグします。たとえば、アクション列を日付列の横にドラッグします。
    既存のグループ内にサブグループが作成されます。

結果の検索とフィルタリングを実行する

結果セクションで、結果テーブルで特定のパラメータを検索することができます。特定の列のデータに基づいて結果をフィルタリングすることも可能です。

特定のパラメータを検索するには、以下の手順を実行します。

  • 検索 ボックスに、テキストを入力します。検索機能により、SQL クエリによって返されたすべての情報のテキストとの一致が行われます。

結果テーブルをフィルタリングするには、以下の手順を実行します。

  1. フィルタ をクリックします。
    フィルタ オプションが表示されます。

  2. テーブルのフィルタリングに使用するオプションを展開します。

  3. 結果テーブルに表示または非表示にするデータのチェックボックスを選択または選択解除します。既定では、すべてのチェックボックスが選択されています。
    結果テーブルが更新され、フィルタリングされた結果がリストに表示されます。

イベントの種類に関する詳細については、Cytomic Orion で受信されたイベントのフィールド (外部リンク) を参照してください。

関連トピック

高度な SQL クエリ構文

高度な SQL クエリ ツールについて

選択句の構文

サポートされているデータ型

正則関数

冗長モードを構成する