アセット検索フィールドが見つからない場合は、こちらをクリックしてください。
フィールドによる検索 | フィールドなしの検索 | 文字列の一致 | 正確な一致 | フルテキスト検索 | 接尾辞の一致 | 接頭辞の一致 | Is Null クエリ | 範囲検索 | 日付検索 | 複数値 (該当する、該当しない) | ブール演算子 | ネストされたクエリ | クエリ制限
フィールド名、コロン、クエリの順に入力します。ネストされたフィールドはドットで区切ります。
例:
openPorts.port: 80
accounts.username: administrator
operatingSystem: win*
クエリにフィールド名がない場合、アセットインデックス(100 超のフィールド名)のすべてのフィールドの属性に渡って最大限広範囲の検索が実行されます。タグ名および脆弱性タイトルなど、一部のフィールドはアセットインデックスに含まれないため、これらについてはフィールド名で検索する必要があります。
仕組み - フィールド名なしで” win ”を検索すると、アセット名、ホスト名、オペレーティングシステム、ソフトウェア名などに win があるアセットが返されます。
構文のヘルプ - 文字列を一致させるために、クエリを一重引用符または二重引用符で囲みます。ワイルドカードを使用して接頭辞の一致または接尾辞の一致を実行する場合は、フィールド名を使用して検索する必要があります(上記参照)。
2 語以上の文字列と一致させるために、クエリを一重引用符または二重引用符で囲みます。「 interfaces.address」および「software.version」はテキストフィールドで文字列の一致をサポートすることに注意してください。
例:
tags.name: "Cloud Agent"
operatingSystem: 'Microsoft Windows'
interfaces.address: 10.10.10.10
software.version: 2.1.7
vulnerabilities.vulnerability.title: "Remote Code Execution Vulnerability"
ワイルドカードを使用する例: 正確な数を検索する場合には、アスタリスク(*)を使用する必要があります。例えば、WINDOWS2008 という文字列で始まるアセットを検索するには、次のクエリを使用します。
name:WINDOWS2008*
ワイルドカードは接頭辞の一致および接尾辞の一致にのみ使用できることに注意してください(下記参照)。部分文字列のワイルドカード、つまり、他の文字列間の文字列の検索はサポートしていません。
文字列を正確に一致させるために、バックティックを使用します。正確な値が返されたアセットが示されます。
例:
operatingSystem: `Windows 7 Ultimate Service Pack 1`
interfaces.hostname: `xpsp2-jp-26-111`
テキストを含む多くのアセットフィールドでは、フルテキスト検索機能と詳細検索機能を使用できます。クエリに引用符(一重引用符または二重引用符)が含まれていない場合は、最大限広範な検索が実行されます。
例:
次のタイトルに関連する検出結果の表示
vulnerabilities.vulnerability.title: Remote Code Execution
interfaces.hostname: xpsp2-jp-26-111
タイトルに「Remote」または「Code」が含まれる検出結果の表示
vulnerabilities.vulnerability.title: "Remote Code"
値「Remote Code」に正確に一致する検出結果の表示
vulnerabilities.vulnerability.title: `Remote Code`
interfaces.hostname: `xpsp2-jp-26-111`
ネストされたクエリに一致する検出結果が表示されます。アセットが返されるためには、両方のサブフィールドが一致している必要があります。
vulnerabilities.vulnerability: (title: `Remote Code` AND patchAvailable: "true")
注記: 二重引用符またはネストされたクエリを使用して検索される場合、xpsp2-jp-26-111 などの単一文字列では結果が返されません。
「name」フィールド、「tags.name」フィールド、「netbiosName」フィールドでの(アセットリスト上の)アセットの検索時に、接尾辞の一致がサポートされています。指定する文字列が最後に付くアセット値に一致します。文字列の最初に「*」を付けて検索します。一致結果では大文字小文字は区別されません。
例: このクエリは、QK2K12QP3-65-53 のように、アセット名の最後に「53」が最後に付くアセットに一致します。
name:*53
例: このクエリは、Region East、region east、Region EAST のように、タグ名の最後に「region east」が付くアセットに一致します。
tags.name:*Region East
接尾辞とドメインの一致は、「interfaces.hostname」フィールドでもサポートされていますが、構文が異なります。
例: これらのクエリは、ホスト名が「com-pa3020-36.eng.sjc01.qualys.com」のアセットに一致します。
interfaces.hostname:qualys.com
interfaces.hostname:sjc01.qualys.com
interfaces.hostname:eng.sjc01.qualys.com
interfaces.hostname:*lys.com
接頭辞の一致は、特定のテキストフィールドでの(アセットリスト上の)アセットを検索するときにサポートされます。指定する文字列が最初に付くアセット値に一致します。文字列の最後に「*」を付けて検索します。一致結果では大文字と小文字が区別されます。
例: このクエリは、xpsp2-jp-26-111 のように、アセット名の最初に「xp」が付くアセットに一致します。
name:xp*
例: このクエリは、Windows XP、Windows 2012、Windows Hosts のように、アセット名の最初に「Win」がつくアセットに一致します。
tags.name:Win*
例: このクエリは、com-pa3020-36.eng.sjc01.qualys.com のように、ホスト名の最初に「com-pa30」が付くアセットに一致します。
interfaces.hostname:com-pa30*
例: このクエリは、Linux 2.4-2.6 のように、オペレーティングシステムの最初に「Lin」がつくアセットに一致します。
operatingSystem:Lin*
フィールドの空の値または null 値に一致させるには、コロンを削除し、「is null」と記述する必要があります。例えば、OS が識別されていないアセットをすばやく検索します。
例:
operatingSystem is null
interfaces.macAddress is null
aws.ec2.accountId is null
次のように () や [] を使用し、[lower .. upper] の構文で範囲を指定できます。数字フィールドと日付フィールドに対応しています。
「interfaces.address」および「software.version」はテキストフィールド(非数値フィールド)であることに注意してください。これらに対して範囲検索はできません。文字列の一致を参照してテキストフィールドを検索してください。
例:
openPorts.port:(123 ..1234) // 123 より大きい(123 を含まない)かつ 1234 より小さい(1234 を含まない)
openPorts.port:(123 ..1234] // 123 より大きい(123 を含まない)かつ 1234 以下(1234 を含む)
openPorts.port:[123 ..1234) // 123 以上(123 を含む)かつ 1234 より小さい(1234 を含まない)
openPorts.port:[123 ..1234] // 123 以上(123 を含む)かつ 1234 以下(1234 を含む)
openPorts.port > 123 // 123 より大きい
openPorts.port >= 123 // 123 以上(123 を含む)
openPorts.port < 1234 // 1234 より小さい
openPorts.port <= 1234 // 1234 以下(1234 を含む)
vulnerabilities.firstFound:[2018-01-01 ..2018-04-01] // 2018 年 1 月 1 日から 4 月 1 日まで
日付範囲 [start date .. end date] または特定の日付を使用します。複数の日付変数も使用可能です。
例:
updated: "2018-10-20"
updated <= "2018-10-20"
updated: s["2018-10-20" .."2018-10-24"]
updated: [now-3d .. now-1s]
フィールドの値に「該当する」または「該当しない」アセットを検索するときに使用します。角括弧内に値のカンマ区切りリストを含めます。分析フィールド(フルテキスト検索フィールド)以外のすべてのフィールドで利用できます。値は完全一致する必要があります。一致結果では大文字と小文字が区別されます。
例: 完全一致するオペレーティングシステムの値があるすべてのアセットの検索
operatingSystem:["Cisco IOS Version 12.4(19)","Windows Server 2003 Service Pack 2",Windows]
例: 完全一致する名前の値があるすべてのアセットの検索
name:[MACMINI-ACA70B,2k8r2-u-10-11,10.10.10.43]
例: 完全一致するアセット ID の値があるすべてのアセットの検索
assetId:[5301908,10233,2345]
例: リストされた CVE ID が 1 つ以上あるすべてのアセットの検索
vulnerabilities.vulnerability.cveIds:[CVE-2003-0818,CVE-2002-0126,CVE-1999-1058]
例: リストされた日付に脆弱性が最初に見つからないすべてのアセットの検索
NOT vulnerabilities.firstFound:["2018-08-31","2018-09-12"]
サポートされている日付の形式:
YYYY の例: ["2017","2018"]
YYYY-MM の例: ["2018-08","2018-09"]
YYYY-MM-DD の例: ["2018-08-31","2018-08-30"]
以下のような分析フィールド(フルテキスト検索フィールド)には対応していません。
vulnerabilities.vulnerability.description
vulnerabilities.vulnerability.solution
vulnerabilities.vulnerability.consequence
キーワード「AND」、「OR」、「NOT」を使用して、検索対象を狭めたり広げたりします。「NOT」を使用する脆弱性クエリの最大深さの詳細については、次のリンクをクリックしてください。
例:
operatingSystem: windows OR operatingSystem: linux
(operatingSystem: windows OR operatingSystem: linux) AND (openPorts.port: 80 OR openPorts.port: 8080)
AND NOT updated <= "2018-10-20"
以下の例に示すように、クエリに複数のフィールドを含めるには、括弧を使用してネストされた単一のクエリを使用します。
例: パッチ適用可能で確認済み脆弱性の検索
vulnerabilities: (vulnerability.patchAvailable: "true" AND typeDetected: "Confirmed")
例: パッチ適用可能で RTI が Easy Exploit(悪用が容易)の脆弱性のうち、最近 5 日間で最初に見つかった脆弱性の検索
vulnerabilities: (vulnerability.patchAvailable: "true" AND vulnerability.threatIntel.easyExploit: true AND firstFound > now-5d)
例: 80 番ポートにある TCP のアセットの検索
openPorts: (port: 80 AND protocol: TCP)
例: 実行中の Windows Time サービスがあるアセットの検索
service: (name: Windows Time AND status: running)
許容されるクエリの最大長: 4096 文字
許容されるフィールド値の最大長: 256 文字
役立つヒント:
- クエリが限度を超過すると、エラーメッセージが表示され検索結果を得られません。
これらのクエリ限度は、AV、TP、CA、VM ダッシュボードのアプリで作成されたクエリに適用されます。
- 文字間のスペースは文字数にカウントされます。