Carbon Black Cloud コンソールには、Carbon Black セキュリティ エキスパートによって事前定義されたクエリがあります。これらの推奨クエリは、直接実行するか、環境に応じて変更した後で実行できます。

手順

  1. [Live Query] > [新しいクエリ] 画面の順に移動し、[推奨] タブで事前定義済みのクエリを選択します。
  2. IT ハイジーン、脆弱性管理、脅威ハンティング、コンプライアンスのカテゴリ、および関連するクエリを参照します。
  3. オプション。クエリのリストを絞り込むには、[OS] フィルタ ドロップダウン メニューを使用します。
  4. オプション。カスタム クエリを変更するには、プラス アイコンをクリックし、[SQL を編集] リンクをクリックします。
    [SQL クエリ] タブが表示されます。ここでは、独自の Live Query を実行する手順を実行できます。
  5. オプション。エンドポイントまたはポリシーの限られたセットに対してクエリを実行するには、カテゴリ カードの下にある [エンドポイント] または [ポリシー] リンクをクリックします。
    サポートされているセンサー/OS と互換性のあるクエリ デバイスのみが結果を返します。
  6. クエリを以下のいずれかの方法で実行します。
    • 試行するクエリに対して [実行] をクリックします。
    • [スケジュール] をクリックして、クエリを毎日、毎週、または毎月実行するようにスケジューリングします。

推奨クエリのスケジュール設定と管理

手順

  1. [推奨] タブで、特定のクエリを検索します。
    たとえば、検索テキスト ボックスに 拡張機能 と入力すると、拡張機能に関連する推奨クエリが特定されます。
  2. 結果でクエリを見つけて、[スケジュール] リンクをクリックします。
    [クエリのスケジュール] ウィンドウが表示されます。
  3. クエリ名は必要に応じて変更します。
  4. エンドポイントを含むポリシー、またはクエリを実行する特定のエンドポイントを選択します。
    エンドポイントがないポリシーを選択すると、警告テキストが表示されます。
  5. クエリの実行頻度を選択します。
  6. クエリを実行する日時を選択します。
  7. 必要に応じて、[クエリ結果のサマリをメールで送る] を選択します。
  8. 変更内容を保存するには、[スケジュール] をクリックします。
  9. [Live Query] > [クエリ結果] > [スケジュール済み] タブの順に移動します。
    クエリは、クエリのリストの一番上に表示されます。
  10. オプション。[前回の実行時間] 列で、このクエリに関連するタイム スタンプ付き結果セットを表示するには、スケジュール設定されたクエリの横にある山型マークをクリックします。
  11. オプション。クエリ構成と SQL 文字列を表示するには、クエリ名の横にある [クエリの詳細] アイコンを選択します。
  12. スケジュール設定されたクエリがアクティブな状態で、クエリを停止、編集、または削除するには、[アクション] 列を見つけて下矢印をクリックします。
  13. クエリに関連するすべての変更のレコードを表示するには、[設定] > [監査ログ] 画面に移動します。