エンドポイント上のアプリケーションおよびプロセスによって実行される失敗した操作と成功した操作の両方含む、Carbon Black Cloud に保存されているすべての観測の詳細を調査および分析できます。

注:
  • Carbon Black Cloud Endpoint Standard 専用ユーザーの [調査] ページにタブが表示されません。デフォルト ビューは [観測] です。
  • [観測][プロセス]、および [認証イベント] タブは Carbon Black Cloud Enterprise EDR ユーザーのみが使用できます。
  • 2023 年 9 月 26 日の時点で、[強化されたイベント] はコンソールから削除されました。[観測] に置き換えられます。

検索結果からデータを収集し、観測とプロセスの詳細に基づいてアクションを実行できます。

[調査] 画面には、クエリの作成に役立つ組み込みの『検索ガイド』が表示されています。高度な検索機能を使用して、アラートに関する詳細情報を検索し、調査を実施して、環境から報告されるイベント、観測、プロセスの普及率を把握できます。VMware Carbon Black Cloud ユーザー ガイド のメイン セクションの「高度な検索技術」「」も参照してください。

値検索

検索時に完全な値を使用します。たとえば、powershell または末尾のワイルドカード:power*

検索フィールド

検索フィールドを含むフォーム クエリ:field:term。例: parent_name:powershell.exe

ワイルドカード

ワイルドカードを使用してクエリを拡張します。? は 1 つの文字に一致します。たとえば、te?t は「test」と「text」の結果を返します。* はゼロまたはそれ以上の連続文字に一致します。例:tes* は「test」、「testing」、「tester」の結果を返します

ファイル拡張子検索において先頭のワイルドカードが考えられます。例:process_name:.exe

値を引用符で囲まない場合や、バックスラッシュで次の特殊文字(+ - && || ! ( ) { } [ ] ^ " ~ * ? : / )をエスケープした場合、ワイルドカードをパスに使用できます。例:(1+1):2 を検索するには、次のように入力します:\(1\+1\)\:2

演算子

演算子を使用してクエリを絞り込むことができます。演算子は大文字である必要があります。

  • [AND] は両方の語句が存在する場合に結果を返します
  • [OR] はいずれかの語句が存在する場合に結果を返します
  • [NOT] は語句が存在しない場合に結果を返します
重要: [暗黙的な「AND」演算子に注意する]

演算子が使用されていない場合でも、暗黙的な「AND」があります。次の例では、両方のクエリで同じ結果が生成されます。

  • この例では、「AND」は暗黙的です。
    Process_name:X process_effective_reptuation:X
  • この例では、「AND」はクエリの一部です。
    Process_name:X AND process_effective_reptuation:X

エスケープ

サジェスト機能およびフィルタを使用する場合を除き、スラッシュ、コロン、およびスペースは手動でエスケープさせる必要があります。

日付/時間範囲

日付/時間範囲を使用してクエリを絞り込むことができます。例:device_timestamp: [2022-10-25T14:00:00Z TO 2022-10-26T15:00:00Z]

個数検索

カウントを含むクエリーを、範囲やワイルドカードで絞り込むことができます。

  • [3 TO *] は値が 3 で始まるカウント結果を返します。

  • [* TO 10] は 10 までのカウント結果を返します。