Esta página se ha traducido con Cloud Translation API.

Controlar las columnas mediante la selección y deselección de palabras clave

Disponible en:

SecOps de Google SIEM

En Búsqueda y Paneles de control, puede usar las palabras clave select y unselect para personalizar las columnas que se muestran en la tabla Eventos de la pestaña Resultados de Búsqueda, así como en las tablas de los widgets del panel de control.

Las columnas predeterminadas son Marca de tiempo y Evento, y siempre se muestran. Las palabras clave select y unselect añaden y quitan columnas respectivamente junto a la columna Evento.

select: añade las columnas especificadas a la tabla Eventos
unselect: quita las columnas especificadas de la tabla Eventos.

Estas palabras clave solo modifican la forma en que se muestran los eventos.

Ejemplos de uso

En los ejemplos de esta sección se muestra la sintaxis habitual para usar las palabras clave select y unselect en las consultas de búsqueda.

Por ejemplo, la siguiente consulta busca eventos vinculados a alex-laptop y añade security_result.about.email como columna a la tabla Eventos: none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

Ejemplo con varias columnas

La tabla Eventos incluye target.asset.hostname como primera columna (después de las columnas Marca de tiempo y Evento).

Por ejemplo, puedes añadir varias columnas:

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Ejemplo de variable de resultado

Puedes usar una variable con la palabra clave select. En el ejemplo siguiente se declara $seconds como una variable de resultado igual al valor del campo metadata.event_timestamp.seconds del modelo de datos unificado (UDM). A continuación, puede especificarlo con la palabra clave select y el valor Seconds se mostrará como una de las columnas.

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

Ejemplo de agregación y evento

Las secciones select y unselect se excluyen mutuamente y permiten a los usuarios incluir o excluir variables de resultado, variables de coincidencia, campos de evento o campos de entidad.

Todas las búsquedas de UDM son búsquedas de un solo evento o búsquedas agregadas (también conocidas como estadísticas de eventos). Las búsquedas agregadas especifican la palabra clave match o usan funciones de agregación en la salida (por ejemplo, sum o count).

Búsqueda de eventos únicos

En este ejemplo se añade una columna para metadata.event_timestamp:

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

Búsqueda agregada

En este ejemplo, se añaden las columnas que representan $hostname y $count_id a la tabla Eventos:

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.