Data Explorer での検索結果の探索

オンライン編集

返される結果は、検索基準および接続されているデータ・ソースによって異なることがあります。 これらの結果を管理するには、以下のオプションを参照してください。

始める前に

照会結果カードをクリックすると、結果の詳細が表示されます。 関心のある結果に集中できるように、以下のいずれかの機能を使用できます。 検索照会を表示または編集するには、ビューを展開します。

このタスクについて

重要: 検索を行うと、Analytics Toolkit ジョブ (aitk_job) が 1 つのポッドとして作成されます。 Data Explorer が処理できる同時検索は、Analytics Toolkit ジョブの最大限度 (デフォルトでは 100) を超えてはなりません。

手順

以下のいずれかの方法を選択して、検索結果を探索します。

検索結果のフィルタリング

オンライン編集

より素早く結果を見つけられるようにしたり、データをさらに絞り込み、確認が必要なデータのみが表示されるようにしたりするには、フィルターを使用します。

手順

  1. フィルター・カテゴリー・オプション・メニューを開いたり閉じたりするには、 「フィルター」をクリックします。 フィルター検索を行うには、検索アイコンのフィールドで検索条件を指定します。
    選択できるフィルターは、接続されているデータ・ソースによって異なります。
  2. 事前定義フィルターに基づいて結果を選択および編成するには、 「結果のソート」 オプションを使用します。
    これらのフィルター・オプションはプロパティーまたは表の列名に対応しており、接続済みのデータ・ソースによって異なります。

一定期間にわたる検索結果の表示

オンライン編集

このタスクについて

より短い期間を表示するには、棒グラフの一部にズームインします。 結果の特定の時刻範囲にズームインするには、以下のようにします。

手順

  1. クリックしてからマウス・ポインターをドラッグすることで、グラフの領域を選択します。
    注: 選択した領域が即時に拡張され、使用可能なビュー・スペースがいっぱいになります。 クリックしてドラッグするたびに、グラフはズームされてさらに詳細に表示されます。
  2. ズーム操作を取り消すには、 Escキーを押します。
    注: プロット領域は前のサイズに戻ります。

文章形式ビューでの検索結果の探索

オンライン編集

デフォルトでは、検索結果はナラティブ・ビューで表示されます。 「表ビューに切り替える (Switch to table view)」アイコンをクリックすると、結果が表形式で表示されます。

このタスクについて

注: KQL の結果では、このリリースのナラティブ・ビューはサポートされません。

手順

  1. ケースのアイコンをクリックして、行から既存のケースにデータを追加するか、新規ケースにデータを関連付けます。 詳しくは、 ケース管理を参照してください。
  2. オブジェクト間の関係を含め、データ行に関連付けられた照会の結果全体を表示するには、その行をクリックします。
  3. さらに詳細な情報を表示するには、値をクリックします。
  4. 結果を STIX 2.0 コード形式で表示するには、 「STIX 2.0」 をクリックします。
  5. 「表ビューに切り替え (Switch to table view)」 アイコンをクリックして、結果を表ビューに表示します。
  6. 表示する項目の数を指定するには、 「ページ当たりの項目数」 をクリックします。

テーブル・ビューでの検索結果の探索

オンライン編集

手順

  1. 「その他のオプション」 (...) をクリックします。 行の最後で、 「ケースに追加」 をクリックして、行のデータを既存のケースに追加するか、データを新しいケースに関連付けます。 詳しくは、 ケース管理を参照してください。
  2. オブジェクト間の関係を含め、データ行に関連付けられた照会の結果全体を表示するには、最初の列の上にカーソルを移動します。
  3. さらに詳細な情報を表示するには、値をクリックします。
  4. 結果を昇順または降順にソートするには、列ヘッダーをクリックします。
  5. 結果をナラティブ・ビューで表示するには、 「ナラティブ・ビューに切り替え」 アイコンをクリックします。
  6. 表示する項目の数を指定するには、 「ページあたりの項目数」をクリックします。

分析ツールキットを使用した検索結果の調査

オンライン編集

Analytics Toolkit を使用して、追加の分析を実行できます。 例えば、「期間ごとの観測値」、「最も一般的な値」、「最も低い共通値」、「潜在的な外れ値」などです。

手順

  1. 「分析ツールキット」ウィンドウを開くには、 「分析」 スイッチをオンにします。
  2. 「プロパティーの選択」 をクリックして、分析する STIX プロパティーを選択します。
    「分析」ウィンドウには、「期間ごとの観測 (Observations Per Period)」、「最も一般的な値 (Most Common Values)」、「最も一般的でない値 (Least Common Values)」、「外れ値候補 (Potential Outliers)」などの属性の情報が表示されます。

フェデレーテッド検索へのアラートの追加

オンライン編集

フェデレーテッド検索にアラートを追加し、STIX コマンドを実行してすべてのアラートをプルします。 生成されたすべてのアラートを表示すると、各アラート間の相関を見つけるのに役立つ場合があります。

手順

  1. ALERT ラベルで始まるデータ・ソース ID を持つ検索結果カードを選択し、 「拡張ビルダー」 タブが表示されていることを確認します。
  2. 「ソート順」 バーの下で、 「ケースに追加」をクリックします。
  3. 「ケースへの検出事項の追加」 ウィンドウで、以下のパラメーターを入力します。
    1. 名前: 検出結果の名前を入力します。
    2. 説明: オプションで、説明テキストまたは役立つヒントを入力します。
    3. ケース名: 既存のケースを選択するか、新規ケースを作成します。
    4. 結果の要約: 選択した結果の詳細情報。
  4. 「検出結果の追加」をクリックします。
  5. ページの下部に表示される通知をクリックします。

次に実行するタスク

すべてのアラートを検索するには、以下のようにします。
  1. IBM Data Explorer > 「フェデレーテッド検索」に移動します。
  2. 「STIX」をクリックします。
  3. 以下の照会を実行します。
    [x-ibm-finding:event_type = 'ALERT']

検索結果のエクスポート

オンライン編集

手順

  1. 「検索結果」ページで、 「エクスポート」 をクリックし、ファイル形式を選択します。 新しいタブが開き、ダウンロードが開始されます。
  2. ファイルの準備ができたら、ファイルをダウンロードするように求めるプロンプトがシステムで出されます。 一部のブラウザーでは、ダウンロードは自動的に行われます。
  3. エクスポート・プロセスをいつでも取り消すには、 「キャンセル」をクリックします。