[イベントの概要 (Events Summary)]ビューでの作業

検索とフィルタバー
Symantec EDR
には、イベントの詳細を検索するためにいくつかの方法が実装されています。
Symantec EDR
はクエリーを検証して、クエリーが有効か (緑色のチェックマーク) 無効か (赤い X) を表示します。
[イベントの概要 (Events Summary)]ビューに検索結果が表示されます。[イベントの概要 (Events Summary)]ビューの使用方法について詳しくは、次のリンクをクリックしてください。
検索クエリーボックスから .csv 形式で検索結果をエクスポートできます。レポートには、
EDR アプライアンスコンソール
に表示される列が、
EDR アプライアンスコンソール
列の順序のままで表示されます。
[イベントの概要 (Events Summary)]テーブルをエクスポートするには
  1. 検出されたイベント数の横のドロップダウン矢印をクリックし、
    [エクスポート (Export)]
    をクリックします。
  2. レポートの名前を入力します。
  3. [OK]
    をクリックします。
  4. 確認のダイアログボックスで
    [OK]
    をクリックします。
    [レポート (Reports)] > [エクスポートレポート (Export Repots)]
    ページでエクスポートしたレポートにアクセスします。
    拡張 ASCII 文字は、.csv 形式では正しく表示されません。
フィルタ
[イベントの概要 (Events Summary)]テーブルをフィルタ処理する方法では、[イベントの概要 (Events Summary)]テーブルの結果をフィルタ処理する方法について説明します。
[イベントの概要 (Events Summary)]テーブルをフィルタ処理する方法
フィルタの種類
説明
手順
クイックフィルタ
Symantec EDR
では、利用頻度の高い情報を迅速に返すため、事前定義の「クイックフィルタ」を利用できます。
利用可能なクイックフィルタのリストは、検索ページによって異なります。たとえば、
[検索 (Search)] > [データベース (Database)] > [イベント (Events)]
の[イベントの概要 (Events Summary)]ビューでは、分析 (SONAR など)、リスク (未遮断など)、動作 (ロードポイントなど) でフィルタ処理できます。一方、[ファイル (File)]詳細ページの
[関連イベント (Related Events)]
タブでは、動作をフィルタ処理できます。
各クイックフィルタを演算子 (AND、OR) を適用して連結し、カッコ () を使用してフィルタ実行の優先順位を設定できます。
詳細については、「クイックフィルタについて」を参照してください。
  1. [フィルタを追加する (Add Filter)]
    をクリックします。
  2. ポップアップダイアログで、フィルタを選択して適用する演算子を選択します。
一部の検索ページは、
[フィルタを表示する (Show Filters)]
コントロールを使用します。これらのページでは、選択 (または選択解除) できるクイックフィルタのマトリクスを表示します。詳しくは、リンクされたトピックを参照してください。
カスタムフィルタ
検索を実行したり、クイックフィルタ以外のフィルタを実行するときは、カスタムフィルタを作成します。
カスタムフィルタは、まずフィールドを選択し、次に演算子 (「is」、「is not」、「is one of」など) と値を適用して作成します (演算子が「between」の場合は値のセット)。フィールドと値のペアを演算子 (AND、OR) で連結し、カッコ () を使用してフィルタ実行の優先順位を設定できます。
カスタムフィルタに適用できる処理については、「カスタムフィルタ処理」を参照してください。
ビューを変更したりログオフしたりすると、カスタムフィルタは解消されます。
カスタムフィルタオプションにアクセスするには
  1. [フィルタを追加する (Add Filter)]
    をクリックして、ポップアップダイアログボックスで使用するフィルタと演算子を選択して、
    [適用 (Apply)]
    をクリックします。
クイックカウント統計
クイックカウント統計は、環境で発生したすべてのイベントを表すデータからサンプリングしています。フィールドリストから、発生数が最上位のイベントを比率と共に表示できます。クイックカウントを使用すると、すばやくフィルタを作成したり、値を含めたり除外したりできます。
クイックカウント統計情報にアクセスするには、フィールド名をクリックします。
その値を含んでいるイベントのみ含めるには、プラスのアイコンをクリックします。
その値を含むすべてのイベントを除外するには、マイナスのアイコンをクリックします。
カスタムフィルタ処理
処理オプション
処理名
処理の説明
フィルタの切り替え (Toggle filter)
包含と除外のフィルタを切り替えます。
フィルタの編集 (Edit filter)
フィルタパラメータを編集します。
フィルタの削除 (Remove filter)
フィルタを削除します。
時間フィルタ
時間フィルタを使用すると、特定の期間に検索結果を絞り込めます。以下の方法で時間フィルタを設定できます。
  1. 時間フィルタオプションを使用して時間フィルタを設定するには
  2. イベントの概要ビューの右側で、時計のアイコンをクリックします。
    デフォルトでは時間フィルタは過去 24 時間に設定されます。
  3. 次のいずれかのタスクを行います。
    時間フィルタオプション
    クリック...
    その後の操作...
    クイックフィルタを設定する
    クイック (Quick)
    事前定義済みの期間のいずれかをクリックします。
    現在の期間と相対的に期間を設定するには
    相対 (Relative)
    その時間より何秒、何分、何時間、何日、何カ月、何年前の期間かを入力し、
    [移動 (Go)]
    をクリックします。
    開始時刻と終了時刻を設定するには
    絶対 (Absolute)
    カレンダーウィジェットを使用して日付範囲を選択します。
    [終了 (To)]
    [開始 (From)]
    フィールドを編集して、範囲を調整できます。
  4. 時間フィルタオプションを終了するには、クエリーバーのキャレットをクリックします。
  5. 棒グラフから時間フィルタを設定するには
  6. 棒グラフで、表示する期間の開始を示すバーにカーソルを合わせます。
  7. 表示する特定の期間に合わせて、カーソルを前後にドラッグします。
    ヒント:
    変更を元に戻すにはブラウザの[戻る]オプションをクリックします。
  8. [棒グラフの間隔 (Histogram interval)]
    ドロップダウンを使用して、棒グラフの各バーが表す時間量を選択します。
    一部の間隔については、
    Symantec EDR
    が間隔をより大きい値にスケールします。間隔が小さすぎるせいで合理的に表示できるより多くの棒グラフのバケットが生成されてしまう場合は、スケーリングが実行されます。
フィールドリスト
フィールドリストでは、イベントの概要の列として表示するフィールドをカスタマイズできます。クイックカウント統計もフィールドリストで利用可能です。
フィールドリストから実行できる内容
処理オプションとリンク
処理の説明
列を追加します。
列を削除します。
クイックカウント統計にアクセスします。
イベントの概要
イベントの概要には、検索クエリーに一致するイベントが表示されます。type_id について詳しくは、次のリンクをクリックします。
イベントの概要から実行できる内容
処理オプションとリンク
処理の説明
イベントの詳細を表示します。
<デバイス名>
エンドポイントの詳細にドリルダウンします。
<ファイル名>
ファイルの詳細にドリルダウンします。
<ドメイン名>
ドメインの詳細にドリルダウンします。
列を削除します。
列をソートします (フィールドにインデックスが作成されている場合のみ利用可能)。
列を左または右に移動します。
イベントの詳細
イベントの概要の項目を展開すると、そのイベントで利用可能なすべてのデータを確認できます。フィールドの内容について詳しくは、『
Symantec™ Endpoint Detection and Response
検索フィールドリファレンスガイド
』を参照してください。
イベントの詳細から実行できる内容
処理オプションとリンク
処理の説明
その値を含むイベントのみ含めます。
その値を含むすべてのイベントを除外します。
[イベント (Events)]テーブルから列を切り替えます。
デバイス名
エンドポイントの詳細にドリルダウンします。
ファイル名
ファイルの詳細にドリルダウンします。
ドメイン名
ドメインの詳細にドリルダウンします。
列を切り替えます。