フィールドによる検索 | フィールドを使用しない検索 | 文字列の一致 | 正確な一致 | フルテキスト検索 | 接尾辞の一致 | 接頭辞の一致 | is null クエリ | 範囲検索 | 日付検索 | 複数の値(「該当する」、「該当しない」) | ブール演算子 | ネストされたクエリ | クエリでの制限
フィールド名、コロン、クエリの順に入力します。ネストされたフィールドはドットで区切ります。
例:
openPorts.port: 80
accounts.username: administrator
operatingSystem: win*
クエリにフィールド名がない場合、アセットインデックスのすべてのフィールドの属性が最大限に検索されます(100 以上のフィールド名)。アセットインデックスには一部のフィールドが含まれていません(タグ名、脆弱性タイトルなど)。これらについては、フィールド名で検索する必要があります。
仕組み - フィールド名を指定せず「win」を検索すると、アセット名、ホスト名、オペレーティングシステム、ソフトウェア名などに win が表示されているアセットが返されます。
構文のヘルプ - 文字列を一致させるために、クエリを一重引用符または二重引用符で囲みます。ワイルドカードを使用して接頭辞の一致または接尾辞の一致を実行するには、フィールド名を使用して検索する必要があります(上記を参照)。
複数の語から成る文字列を一致させるために、クエリを一重引用符または二重引用符で囲みます。インタフェースアドレスおよびソフトウェアバージョンはテキストフィールドであり、文字列の一致をサポートします。
例:
tags.name: "Cloud Agent"
operatingSystem: 'Microsoft Windows'
interfaces.address: 10.10.10.10
software.version: 2.1.7
vulnerabilities.vulnerability.title: "Remote Code Execution Vulnerability"
ワイルドカードを使用する例: 正確な数を検索する場合には、アスタリスク(*)を使用する必要があります。例えば、WINDOWS2008 という文字列で始まるアセットを検索するには、次のクエリを使用します。
name:WINDOWS2008*
ワイルドカードは、接頭辞および接尾辞の一致にのみ使用できます(下記を参照)。部分文字列のワイルドカードはサポートされていません。つまり、別の文字列の中に含まれている文字列の検索はできません。
文字列を正確に一致させるために、バックティックを使用します。正確な値が返されたアセットが示されます。
例:
operatingSystem:`Windows 7 Ultimate Service Pack 1`
interfaces.hostname:`xpsp2-jp-26-111`
テキストを含む多くのアセットフィールドでは、フルテキスト検索機能と詳細検索機能を使用できます。クエリに引用符(一重または二重)がない場合、最大範囲が検索されます。
例:
次のタイトルに関連する検出結果の表示
vulnerabilities.vulnerability.title: Remote Code Execution
タイトルに「Remote」または「Code」が含まれる検出結果の表示
vulnerabilities.vulnerability.title: "Remote Code"
値「Remote Code」に正確に一致する検出結果の表示
vulnerabilities.vulnerability.title: `Remote Code`
ネストされたクエリに一致する検出結果が表示されます。アセットが返されるためには、両方のサブフィールドが一致している必要があります。
vulnerabilities.vulnerability: (title: `Remote Code` AND patchAvailable: "true")
「name」フィールド、「tags.name」フィールド、「netbiosName」フィールドでの(アセットリスト上の)アセットの検索時に、接尾辞の一致がサポートされています。指定する文字列が最後に付くアセット値に一致します。文字列の最初に「*」を付けて検索します。一致結果では大文字小文字は区別されません。
例: このクエリは、QK2K12QP3-65-53 のように、アセット名の最後に「53」が最後に付くアセットに一致します。
name:*53
例: このクエリは、Region East、region east、Region EAST のように、タグ名の最後に「region east」が付くアセットに一致します。
tags.name:*Region East
接尾辞の一致は、「interfaces.hostname」フィールドでもサポートされていますが、構文が異なります。
例: これらのクエリは、ホスト名が「com-pa3020-36.eng.sjc01.qualys.com」のアセットに一致します。
interfaces.hostname:qualys.com
interfaces.hostname:sjc01.qualys.com
interfaces.hostname:eng.sjc01.qualys.com
interfaces.hostname:*lys.com
特定のテキストフィールドを使用して(「Assets」リストで)アセットを検索する場合に、接頭辞の一致がサポートされています。指定する文字列が最初に付くアセット値に一致します。文字列の最後に「*」を付けて検索します。一致結果では大文字小文字は区別されます。
例: このクエリは、xpsp2-jp-26-111 のように、アセット名の最初に「xp」が付くアセットに一致します。
name:xp*
例: このクエリは、Windows XP、Windows 2012、Windows Hosts のように、タグ名の最初に「Win」が付くアセットに一致します。
tags.name:Win*
例: このクエリは、com-pa3020-36.eng.sjc01.qualys.com のように、ホスト名の最初に「com-pa30」が付くアセットに一致します。
interfaces.hostname:com-pa30*
例: このクエリは、Linux 2.4-2.6 のように、オペレーティングシステムの最初に「Lin」が付くアセットに一致します。
operatingSystem:Lin*
フィールドの空の値または null 値に一致させるには、コロンを削除し、「is null」と記述する必要があります。例えば、OS が識別されていないアセットをすばやく検索します。
例:
operatingSystem is null
interfaces.macAddress is null
次のように () や [] を使用し、[lower .. upper] の構文で範囲を指定できます。数字フィールドと日付フィールドに対応しています。
インタフェースアドレスおよびソフトウェアバージョンはテキストフィールドです(数字フィールドではありません)。これらの範囲検索は実行できません。テキストフィールドを検索するには、「文字列の一致」を参照してください。
例:
openPorts.port:(123 ..1234) // 123 より大きい(123 を含まない)かつ 1234 より小さい(1234 を含まない)
openPorts.port:(123 ..1234] // 123 より大きい(123 を含まない)かつ 1234 以下(1234 を含む)
openPorts.port:[123 ..1234) // 123 以上(123 を含む)かつ 1234 より小さい(1234 を含まない)
openPorts.port:[123 ..1234] // 123 以上(123 を含む)かつ 1234 以下(1234 を含む)
openPorts.port > 123 // 123 より大きい
openPorts.port >= 123 // 123 以上(123 を含む)
openPorts.port < 1234 // 1234 より小さい
openPorts.port <= 1234 // 1234 以下(1234 を含む)
vulnerabilities.firstFound: [2018-01-01 ..2018-04-01] // 2018 年 1 月 1 日から 4 月 1 日まで
日付範囲 [start date .. end date] または特定の日付を使用します。複数の日付変数も使用可能です。
例:
updated:"2018-11-20"
updated <= "2018-10-20"
updated:["2018-11-20" .."2018-11-24"]
updated:[now-3d .. now-1s]
フィールドの値に「該当する」アセットを検索するときに使用します。カンマで区切った値のリストを角括弧で囲んで入力します。分析フィールド(フルテキスト検索フィールド)以外のすべてのフィールドで利用できます。値は正確に一致する必要があります。一致結果では大文字小文字は区別されます。
例: 次の値と正確に一致するオペレーティングシステムの値を持つすべてのアセットを検索します。
operatingSystem:["Cisco IOS Version 12.4(19)","Windows Server 2003 Service Pack 2",Windows]
例: 次の値と正確に一致する名前の値を持つすべてのアセットを検索します。
name:[MACMINI-ACA70B,2k8r2-u-10-11,10.10.10.43]
例: 次の値と正確に一致するアセット ID の値を持つすべてのアセットを検索します。
assetId:[5301908,10233,2345]
例: 少なくとも次の CVE ID の1 つを持つすべてのアセットを検索します。
vulnerabilities.vulnerability.cveIds:[CVE-2003-0818,CVE-2002-0126,CVE-1999-1058]
サポートされている日付の形式:
YYYY の例: ["2017","2018"]
YYYY-MM の例: ["2018-08","2018-09"]
YYYY-MM-DD の例: ["2018-08-31","2018-08-30"]
以下のような分析フィールド(フルテキスト検索フィールド)には対応していません。
vulnerabilities.vulnerability.description
vulnerabilities.vulnerability.solution
vulnerabilities.vulnerability.consequence
キーワード「AND」、「OR」、「NOT」を使用して、検索対象を狭めたり広げたりします。クエリの最大深さの詳細については、次のリンクをクリックしてください。
注記: NOT 演算子は Asset 検索トークンでのみ使用可能です。脆弱性検索トークンは、NOT 演算子をサポートしていません。
例:
activatedForModules:"TRUE" AND NOT agentActivations.status:"INACTIVE"
(operatingSystem: windows OR operatingSystem: linux)AND(openPorts.port: 80 OR openPorts.port: 8080) NOT operatingSystem: windows
以下の例に示すように、クエリに複数のフィールドを含めるには、括弧を使用してネストされた単一のクエリを使用します。
例: パッチが入手可能で、Windows 認証を必要とする脆弱性の検出結果の表示
vulnerabilities.vulnerability:(patchAvailable:"TRUE" AND authTypes:"WINDOWS_AUTH")
例: 80 番ポートにある TCP のアセットの検索
openPorts:(port:80 AND protocol:TCP)
例: 実行中の Windows Time サービスがあるアセットの検索
service:(name:Windows Time AND status: running)
クエリの許容最大長: 4096 文字
フィールド値の許容最大長: 256 文字
ヒント:
- クエリが制限値を超えると、エラーメッセージが表示され、検索結果は取得されません。
- クエリでのこれらの制限は、AV、TP、CA、VM ダッシュボードを使用して作成されるクエリに適用されます。
- 文字間のスペースは文字としてカウントされます。