フィルターとシンプル検索

[調査][変更]クエリビルダー には 2 つの機能があります。フィルタークエリを作成するための便利なインターフェースを提供しますが、キーワード検索も可能です。資産、検出結果、変更ルールの検索と、フィルター検索を組み合わせて、クエリを作成することができます。たとえば、シンプル検索でサーバーを名前指定で見つけ、次にフィルターを追加して、この資産で深刻度が重大である脆弱性のみを表示できます。

このセクションでは、クエリビルダーの次の 2 つの機能について説明します。

  • フィルタールックアップ: 資産、検出結果、変更ルールを特定できるので、クエリの作成に役立ちます。

  • シンプル検索: 特定のフィールド内のテキストベースのルックアップと IP アドレス検索の両方に対応しています。

フィルタールックアップを実行する場合は、検索クエリを引用符で囲まないでください。シンプル検索を実行する場合は、検索クエリを引用符で囲みます。

フィルタールックアップ (デフォルト、引用符なし)

引用符を使用せずにクエリビルダーにそのまま入力すると、フィルタールックアップが使用されます。これは、フィルタークエリ内で条件として使用するフィルターを見つけるのに役立ちます。

入力すると、次の 3 つのうちいずれかの結果が発生します。

  • 完全一致: たとえば、「修正日」と入力すると、クエリビルダーは [最終修正日] フィルターの完全一致を見つけます。それから、そのフィルターを選択することができます。次に、演算子 (例: [日付] または [より後]) および値 (例: 7 日前) を選択できます。

  • 複数の一致: 入力した各トークンに対して、クエリビルダーはそのトークンに一致するすべてのフィルターのリストを表示し、そこから選択することができます。たとえば、「深刻度」と入力すると、クエリビルダーは [深刻度][元の深刻度][CVSS v3.0 基本値深刻度] などの複数のフィルター名を表示します。

  • 一致なし: 「xyz」と入力して、それに一致するフィルター名がない場合、クエリビルダーは [無効なフィルター: xyz] と表示します。

    注意: ["xyz" を検索しますか?] というリンクも表示されます。このリンクをクリックすると、クエリビルダー内のシンプル検索機能に移動します。

シンプル検索 (引用符を使用)

シンプル検索は、資産、検出結果、変更ルールを検索できるクエリビルダーのもう 1 つの機能です。これは、[調査] および [変更] のワークフローで利用できます。

検索用語を二重引用符で囲むと (例: "my-server")、シンプル検索の機能が有効になります。クエリビルダーはフィルター名を検索するのではなく、特定のフィールドのデータ内の文字列を検索します。

テキストおよびワイルドカードの使用

シンプル検索を使用してテキスト文字列を検索すると、クエリビルダーは部分一致で検索します。

  • 暗黙的なワイルドカード ("xyz") - ワイルドカードを指定せずに "server" などの文字列を検索すると、クエリビルダーは自動的にその文字列の最初と最後にワイルドカードを適用します (例: *server*)。web-server-01 や fileserver も一致する値になります。

  • 明示的なワイルドカード ("xyz*") - ユーザーがアスタリスク (*) を使用して一致をコントロールできます。たとえば、"server*" は、「server」で始まるものと一致しますが、"*server" は、「server」で終わるものと一致します。

IP アドレスの使用

個別の IPv4 または IPv6 アドレス、IP 範囲、または CIDR 範囲を検索できます。以下に例を挙げます。

  • クエリビルダーで "10.1.1.5" と入力すると、10.1.1.5 に等しい特定の IPv4 アドレスを探します。

  • クエリビルダーで "2001:db8::1" と入力すると、2001:db8::1 に等しい特定の IPv6 アドレスを探します。

  • クエリビルダーで "10.1.1.5-10.1.1.47" と入力すると、10.1.1.5 ~ 10.1.1.47 の範囲内にあるすべての IPv4 アドレスを探します。

  • クエリビルダーで "10.1.0.0/16" と入力すると、65,000 個の IP アドレスの CIDR 範囲を検索します。

注意: 部分的な IP セグメントは、テキスト文字列として扱われます。たとえば、 "10.1" で検索すると、[IPv4 アドレス] フィールドではなく [資産名] が検索されます。これは、文字列 10.1 は有効な IP アドレス、IP 範囲、CIDR 範囲のいずれでもないためです。

クエリビルダーのテキストベースと IP ベースのシンプル検索では、次のテーブルとフィールドに対して検索が実行されます。

  • [調査] > [資産] テーブル: [資産名][エージェント名][NetBIOS 名][DNS (FQDN)] を検索します。

  • [調査] > [検出結果] テーブル: テキストベースの検索の場合は [資産名]、IP ベースの検索の場合は [IPv4 アドレス] または [IPv6 アドレス] を検索します。

  • [変更] テーブル: 変更ルール内で使用されている特定の脆弱性やプラグインを素早く見つけることができます。[名前][資産名][プラグイン ID] のフィールドを検索します。

詳細: 検索をフィルターに変換

シンプル検索をクエリに変換できます。

  1. クエリビルダーで、"xyz" などの検索文字列を入力します。

    検索ボックスが表示されます。

  2. [検索をフィルターに変換] をクリックします。

    クエリビルダーにより、検索が OR 演算子で接続されたフィルターのグループに置き換えられます。このグループに含まれる特定のフィールドは、使用しているテーブルによって異なります。次の表は、結果のクエリをまとめたものです。

    テーブル 変換された検索クエリで使用されるフィルター

    調査 > 資産

    		 資産名エージェント名NetBIOS 名DNS (FQDN)IPv4 アドレスIPv6 アドレス (単一、範囲、または CIDR)
    調査 > 検出結果

    資産名IPv4 アドレスIPv6 アドレス (単一、範囲、または CIDR)
    変更 名前資産名プラグイン ID

  • 例 1

    1. [調査] > [資産] テーブルのクエリビルダーで "xyz" と入力します。

    2. [検索をフィルターに変換] をクリックします。

    3. クエリビルダーに次のクエリが表示されます。

      Agent Name is equal to *xyz* OR DNS (FQDN) is equal to *xyz* OR Asset Name is equal to *xyz* OR NetBIOS Name is equal to *xyz*

      このクエリは引き続き変更できます。

  • 例 2

    1. [探索] > [資産] テーブルのクエリビルダーに "::ffff:ac10:201" と入力します。

    2. [検索をフィルターに変換] をクリックします。

    3. クエリビルダーに次のクエリが表示されます。

      Agent Name is equal to *::ffff:ac10:201* OR DNS (FQDN) is equal to *::ffff:ac10:201* OR IPv6 Address is equal to ::ffff:ac10:201 OR Asset Name is equal to *::ffff:ac10:201* OR NetBIOS Name is equal to *::ffff:ac10:201*

      このクエリは引き続き変更できます。

注意: この機能により、検索されたフィールドが正確に表示され、クエリをさらに絞り込むことができます。たとえば、資産検索から NetBIOS 名を削除し、DNS (FQDN) のみを表示することができます。