[値検索]

検索する場合は完全な値 (例：powershell) または末尾のワイルドカード (例：power*) を使用してください。

[検索フィールド]

検索フィールドを含める場合、このようなクエリを作成してください: フィールド:用語

parent_name:powershell.exe

[ワイルドカード]

ワイルドカードを使用してクエリを拡張します。* [? ] 1 つの文字に一致します。たとえば、te?t と入力すると、「test」と「text」の結果が返されます * * 0 個以上の連続した文字に一致します。例：tes* は「test」、「testing」、「tester」の結果を返します

ファイル拡張子検索において先頭のワイルドカードが考えられます。

例：process_name:.exe

値を引用せずバックスラッシュを使用して次の特殊文字をエスケープした場合、ワイルドカードをパスで使用することができます：+ - && || ! ( ) { } [ ] ^ " ~ * ? : /

例：(1+1):2 を検索するには、次のように入力します：\(1\+1\)\:2

[演算子]

演算子を使用してクエリを絞り込みます。演算子は大文字である必要があります。

• [AND] 両方の語句が存在する場合に結果を返します
• [OR] いずれかの語句が存在する場合に結果を返します
• [NOT] 語句が存在しない場合に結果を返します

[エスケープ]

サジェスト機能およびフィルタを使用する場合を除き、スラッシュ、コロン、およびスペースは手動でエスケープする必要があります。

[日付/時間範囲]

適切な場合、日付/時間範囲を使用してクエリを絞り込みます。

例：device_timestamp: [2018-10-25T14:00:00Z TO 2018-10-26T15:00:00Z]

[個数検索]

範囲とワイルドカードのある個数を含んだクエリを絞り込みます。

• [3 TO *] 3 の値で始まる個数の結果を返します。

• [* TO 10] 最大 10 までの個数の結果を返します。

[アラート] 画面で確認されたアラート データが使用できなくなり、[観測] として分類されるようになりました

確認されたアラート データは、CB 分析でフィルタリングして [観測] 画面で検索できます。

1. 左側のナビゲーション ペインで、[調査] > [観測] をクリックします。
2. [フィルタ] で [タイプ] > [CB 分析] を選択します。

[観測] 画面で、確認された古いアラートがアラートとしてマークされません。