[Cortex XDR/XSIAM]定期的にクエリを実行する - Scheduled Queries

Intro

タイトルのとおり任意のXQLクエリをスケジューリングして実行することができます。

この記事で使用したクエリを元に作成していきます。

Query Builderで以下のようにクエリを定義します。

以下のアイコンをクリックします。

スケジュール名と、実行スケジュールを設定します。

ここでは毎日9:00AMに実行する設定となっています。

完了したら[OK]をクリックします。

登録したクエリがScheduled queriesに表示されます。

実行結果を確認するには、Query Centerか、あるいは登録したクエリのコンテキストメニューを開き「Show executed queries」

を選択します。

実行したクエリの結果が表示されます。毎日9:00AMに実行しているので、それぞれの結果が表示されています。

クエリ結果のコンテキストメニューを開き「Show results」を選択すると、

クエリの実行結果をクエリ文字列共に確認することができます。

このように、XQLでCorrelation Ruleを作成しアラート生成する必要はないが、

定期的に監視したい何かがある場合、Scheduled Queriesが便利でしょう。

Scheduled Queriesの詳細はこちら