[Cortex XDR/XSIAM]定期的にクエリを実行する - Scheduled Queries

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

 

 

 

Intro

タイトルのとおり任意のXQLクエリをスケジューリングして実行することができます。

 

 

スケジューリングされたクエリを作成する

この記事で使用したクエリを元に作成していきます。

 

Query Builderで以下のようにクエリを定義します。

massaito_0-1684937025713.png

 

以下のアイコンをクリックします。

scheduled-query.png

 

 

スケジュール名と、実行スケジュールを設定します。

ここでは毎日9:00AMに実行する設定となっています。

完了したら[OK]をクリックします。

query-setting.png

 

登録したクエリがScheduled queriesに表示されます。

ScheduledQuery.png

 

 

クエリの実行結果を確認する

 

実行結果を確認するには、Query Centerか、あるいは登録したクエリのコンテキストメニューを開き「Show executed queries」

を選択します。

 

showqueries.png

 

 

実行したクエリの結果が表示されます。毎日9:00AMに実行しているので、それぞれの結果が表示されています。

queryresult.png

 

 

クエリ結果のコンテキストメニューを開き「Show results」を選択すると、

showdetail.png

 

 

クエリの実行結果をクエリ文字列共に確認することができます。

showxql.png

 

このように、XQLでCorrelation Ruleを作成しアラート生成する必要はないが、

定期的に監視したい何かがある場合、Scheduled Queriesが便利でしょう。

 

 

TechDoc

Scheduled Queriesの詳細はこちら

 

 

 

 

この記事を評価:
  • 1464 閲覧回数
  • 0 コメント
  • 1 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎05-08-2024 10:59 PM
更新者: