Spalten mit den Schlüsselwörtern „select“ und „unselect“ steuern

Unterstützt in:

In der Suche und in Dashboards können Sie mit den Schlüsselwörtern select und unselect die Spalten anpassen, die in der Tabelle Ereignisse auf dem Tab Ergebnisse (in der Suche) und in den Tabellen in Dashboard-Widgets angezeigt werden.

Die Spalten Zeitstempel und Ereignis werden standardmäßig angezeigt. Mit den Schlüsselwörtern select und unselect können Sie bestimmte Felder des Unified Data Model (UDM), outcome-Variablen oder match-Variablen hinzufügen oder entfernen, um die Ansicht zu optimieren.

Die Schlüsselwörter select und unselect sind optional und in Regeln nicht verfügbar.

  • select: Gibt die Liste der UDM-Felder, outcome-Variablen oder match-Variablen an, die in die Abfrageergebnisse aufgenommen werden sollen.
  • unselect: Gibt die Liste der UDM-Felder oder ‑Variablen an, die aus den Abfrageergebnissen ausgeschlossen werden sollen.

Beispiele für die Verwendung

Die Beispiele in diesem Abschnitt zeigen die allgemeine Syntax für die Verwendung der Schlüsselwörter select und unselect in Suchanfragen.

Mit der folgenden Abfrage wird nach Ereignissen gesucht, die mit alex-laptop verknüpft sind, und security_result.about.email wird als Spalte zur Tabelle Ereignisse hinzugefügt:

principal.hostname = "alex-laptop"
limit: 10
select: security_result.about.email

Beispiel: Mehrere Spalten

Sie können mehrere Spalten hinzufügen, indem Sie sie durch ein Komma trennen. Die Spalten werden in der Reihenfolge angezeigt, in der Sie sie auflisten.

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Beispiel: Tabellendefinitionen

In Dashboards definiert das table Schlüsselwort die Spaltenausgabe, während mit select oder unselect die angezeigten Felder verwaltet werden.

metadata.event_type = "USER_LOGIN"
select:
  principal.hostname

Aggregations- und Statistikabfragen

In YARA-L werden Aggregations- und Statistikfunktionen in der Regel im Abschnitt outcome platziert, während im Abschnitt match die Aggregationsbasis definiert wird.

Die Abschnitte select und unselect schließen sich gegenseitig aus. Nutzer können damit Ergebnis variablen, Übereinstimmungsvariablen, Ereignisfelder oder Entitätsfelder ein- oder ausschließen.

Alle UDM-Suchanfragen sind entweder Suchanfragen nach einzelnen Ereignissen oder aggregierte Suchanfragen (auch Ereignisstatistiken genannt). Bei aggregierten Suchanfragen wird das Schlüsselwort match angegeben oder es werden Aggregatfunktionen in der Ausgabe verwendet (z. B. sum oder count).

Der Befehl stats ist das primäre Tool für die Datenaggregation. Er wandelt Rohereignisdaten in zusammengefasste Sicherheitsmesswerte um. Während der Befehl eval Transformationen auf Feldebene und zeilenweise ausführt, führt `stats` eine Aggregation auf Satzebene durch (ähnlich wie GROUP BY in SQL).

Mit der folgenden Abfrage wird die Variable $count_hostname aus der endgültigen Anzeige ausgeschlossen, um sich auf die $count_id metric zu konzentrieren.

events:
  $e.metadata.event_type != "RESOURCE_CREATION"
  $e.principal.hostname = $hostname
  $id = $e.network.session_id

match:
  $hostname over 1h

outcome:
  $count_hostname = count($hostname)
  $count_id = count($id)

unselect:
  $count_hostname

Sie können auch eine Variable mit dem Schlüsselwort select verwenden, um eine bestimmte Berechnung anzuzeigen. Im folgenden Beispiel wird $seconds als Ergebnisvariable deklariert. In der Tabelle Events wird der Wert $seconds dann als Spalte angezeigt.

principal.hostname = "alex-laptop"

outcome:
  $seconds = metadata.event_timestamp.seconds

limit: 10

select: $seconds, security_result.about.email

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten