このトピックでは、ドット付きトークンを検索する方法について説明します。

ドット (.) の後に次のフィールドが続く場合、ファイル拡張子、ドメイン、または二重ファイル拡張子の場合に特別なトークン化が行われます。

• crossproc_name
• fileless_scriptload_cmdline
• filemod_name
• modload_name
• parent_cmdline
• parent_name
• process_cmdline
• process_name
• regmod_name
• scriptload_name

w.x.y 文字列の場合は、次の 3 つの文字列を検索できます。

• w.x.y
• .x.y
• .y

それ以外の場合は、ワイルドカードまたは正規表現が必要です。

たとえば、エンドポイントが filemod_name:file.7z.tmp を報告し、file.7z を含むすべての filemod_name を検索する場合は、file.7z*.、.7z.tmp、または .tmp を検索する必要があります。