on Oct 19, 2018[ナビゲート]ビューまたは[レガシー イベント]ビューでは、メタ キーや値をクリックする代わりにクエリを作成して、メタ データをドリル ダウンすることができます。クエリ作成のためのダイアログには、使用可能なメタ キーや演算子がドロップダウン リストで表示される構文ヘルプが用意されています。このダイアログにアクセスするには、[ナビゲート]ビューまたは[レガシー イベント]ビューのツールバーで、[クエリ]を選択します。
実行したいことは何ですか?
| ユーザ ロール | 実行したいこと | 手順 |
|---|---|---|
| インシデント対応者または脅威ハンター | 環境内で特定された検出と信号の確認 | 『NetWitness Platformスタート ガイド』 |
| インシデント対応者 | 重要なインシデントまたはアラートの確認 | 『NetWitness Respondユーザ ガイド』 |
| 脅威ハンター | サービス、メタデータ、時間範囲のクエリを実行* | |
| 脅威ハンター | メタデータの表示 | |
| 脅威ハンター | 連続したイベントの表示 | |
| 脅威ハンター | イベントの再構築と分析 | |
| 脅威ハンター | ファイルおよび関連づけられたホストの調査 | |
| 脅威ハンター | ルックアップの実行 | |
| 脅威ハンター | インシデントの作成またはインシデントへの追加 | |
| 脅威ハンター | Context Hubリストへのメタ値の追加 |
*このタスクは現在のビューで実行できます。
関連トピック
簡単な説明
![これは、[シンプル]の[クエリ]ドロップダウンです](https://community.rsa.com/servlet/JiveServlet/showImage/102-97934-4-658302/SimpQryDD_600x191.png)
[クエリ]ダイアログには次の3つのビューがあります。
- シンプル
- 拡張
- 最近実行したクエリ
[シンプル]ビューでは、ダイアログに表示されているオプションを使用してクエリを作成できます。[詳細]ビューでは、ガイダンスなしでクエリを作成できます。[最近実行したクエリ]では、最近実行したクエリのドロップダウン リストからクエリを選択できます。
[シンプル]ビュー
[詳細]ビュー
![これは、[詳細]ビューです](https://community.rsa.com/servlet/JiveServlet/showImage/102-97934-4-658256/AdvQryDD.PNG)
[最近実行したクエリ]ビュー
![これは、[最近実行したクエリ]ビューです](../../Resources/Images/InvestigateUG/RecQryDD.PNG)
次の表は、[クエリ]ダイアログの機能について説明しています。
| 機能 | 説明 |
|---|---|
| メタの選択 | メタ グループのドロップダウン リストを表示します。 |
| 演算子 | 演算子(=、NetWitness Platform!=、NetWitness Platformexists、NetWitness Platform!exists)のドロップダウン リストを表示します。 |
| 値 | クエリを完成させるための値を入力します。 |
| ネットワーク | [ログ]が選択されていない場合に、クエリの対象をパケットに限定します。 |
| ログ | [ネットワーク]が選択されていない場合に、クエリの対象をログに限定します。 |
| クエリ ボックス | [詳細]ビューで、クエリを入力できます。入力を開始すると、サービスで使用可能なメター キーのドロップダウン リストが表示され、入力内容に応じて演算子のドロップダウン リストが表示されます。クエリ ボックスに入力されている式が無効な場合は、ボックスの近くに警告が表示されます。クエリが有効になると、警告は消えます。 |
| クエリ リスト | [最近実行したクエリ]ビューで、最近実行したクエリのリストからクエリを選択します。クエリをダブル クリックすると、自動的に適用されます。 |
| 適用 | 現在の[調査]ビューに、新しいクエリを適用します。 |
| キャンセル | 変更を加えずにダイアログを閉じます。 |
| リセット | すべてのフィールドをリセットします。 |
Previous Topic:[ナビゲート]ビュー
Next Topic:[クエリ プロファイル]ダイアログ
You are here
Table of Contents > 調査の参考情報 > [クエリ]ダイアログ