Advanced Visualization Tool によるデータ検索

適用対象: WatchGuard Advanced Reporting Tool および Data Control。

Advanced Visualization Tool を活用することで、WatchGuard EPDR および WatchGuard EDR によって生成されたデータに迅速にアクセスすることができます。データは最大 1 年間保持されます。簡単に作成できる強力なクエリで、データを検索および分析することが可能です。

検索クエリは、データ テーブル から作成します。クエリを作成したら、Data Search (データ検索) ページの Search History (検索履歴) タブで結果を確認することができます。

クエリの作成方法については、次を参照してください:検索クエリを作成

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ファイル アクセス情報にアクセス する権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

Data Search ページを開くには、Advanced Visualization Tool で以下の手順を実行します。

  • 左ペインで、Data Search を選択します。

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, navigation pane

Explore Your Data (データを探索する)

Explore Your Data タブでは、特定のデータ テーブルを検索することができます。

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, Explore Your Data

データ テーブルを検索するには、以下の手順を実行します。

  1. 必要に応じて、Finders タブのドロップダウン リストから、ファインダを選択します。
    グループを見つけ、データに適用されるタグを Technology (技術)、Brand (ブランド)、Type (種類)、および Subtype (サブ種類) の 4 つのレベルに分類します。

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, Finders and filters

  1. タグ列の上にある期間を選択すると、昨日や先週など、その期間にデータを受信したデータ テーブルのみが表示されます。
  2. 表示するデータ テーブルの列のタグを選択します。
    Subtype タグを選択すると、選択されているデータ テーブルの検索ウィンドウが開きます。
  3. データ テーブルを検索するには、検索バーにキーワードを入力します。
    タグにより、キーワードに基づいてフィルタリングされます。
  4. データ テーブルを開く前にデータ テーブルに表示する列を指定するには、選択するタグの横にある Subtype 列で、Screen shot of the ellipsis icon をクリックします。

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, Table info

  1. Select Field をクリックします。

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, Select Columns dialog box

  1. データ テーブルに表示する列を選択します。Apply をクリックします。
    選択されているデータ テーブルの検索ウィンドウが開きます。

Search History (検索履歴)

Search History タブで、以前に実行した検索を参照し、特定の期間でフィルタリングすることができます。

Screen shot of WatchGuard EPDR, Advanced Visualization Tool, Search History

Search History テーブルには、選択されている期間のすべての検索が一覧されます。各検索で以下のアクションを実行することができます。

  • 検索をお気に入りの検索に追加するには、検索行で を選択します。
  • 検索をエイリアス ファインダに追加するには、検索行で を選択します。
  • 検索をブロックするには、検索行で を選択します。

Search History テーブルをフィルタリングする

テーブルの上部に、検索をフィルタリングする複数の方法が表示されています。

  • アイコンを選択して、ブロックされた検索 (Screen shot of lock icon)、エイリアス ファインダに追加された検索 (Screen shot of finder icon)、またはお気に入りの検索 (Screen shot of favorites icon) のみを表示することができます。
  • 期間を選択すると、その特定の期間にアクセスされた検索が表示されます。
  • 検索ボックスにテキストを入力して、Filter を選択します。このテーブルには、エイリアス、テーブル名、または検索を定義したユーザーに検索テキストが含まれている検索が表示されます。すべての検索を表示するには、Clear Filter をクリックします。

検索を開く

検索を開いて、データを確認することができます。

検索を開くには、以下の手順を実行します。

  • Search History テーブルで、以下のいずれかの列で検索名を選択します。
    • Alias — 実行されたすべての操作が含まれている完全な検索を開きます。
    • Table Name — 元のテーブルを開きます。

Lookup Management (ルックアップ管理)

Lookup Management タブには、アクセスしたすべてのルックアップおよびルックアップとそのコンテンツを特定できる情報が表示されます。

Screen shot of ART, Data Search, Lookup Management page

ルックアップ テーブルにより、生データ テーブルの情報を充実した方法で利用できるようになります。これにより、データ テーブルの値を、対応するルックアップ テーブルの値と関連付けることができます。たとえば、ルックアップ テーブルを IP アドレスと関連付け、その地理的アドレスを地理的アドレスと関連付けて、クエリ時に IP アドレスが含まれているデータ テーブルを作成することができます。

ルックアップ テーブルは、数 MB ほどの小さなファイルでなければなりません。

詳細については、Devo ドキュメント (外部リンク) の最新情報を参照してください。

関連トピック

サンプル SQL クエリ テキスト