Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Controla las columnas con las palabras clave select y unselect

Compatible con:

Google secops SIEM

En Search y Dashboards, puedes usar las palabras clave select y unselect para personalizar las columnas que se muestran en la tabla Events de la pestaña Results (en Search) y las tablas dentro de los widgets del panel.

Si bien las columnas Timestamp y Event se muestran de forma predeterminada, las palabras clave select y unselect te permiten agregar o quitar campos específicos del Modelo de datos unificado (UDM), variables outcome o variables match para refinar tu vista.

Las palabras clave select y unselect son opcionales y no están disponibles en Rules.

select: Especifica la lista de campos UDM, variables outcome o variables match que se incluirán en los resultados de la consulta.
unselect: Especifica la lista de campos o variables UDM que se excluirán de los resultados de la consulta.

Ejemplos de uso

En los ejemplos de esta sección, se muestra la sintaxis común para usar las palabras clave select y unselect en las consultas de Search.

Ejemplo: Búsqueda de un solo evento

En la siguiente consulta, se buscan eventos conectados a alex-laptop y se agrega security_result.about.email como columna a la tabla Events:

principal.hostname = "alex-laptop"
limit: 10
select: security_result.about.email

Ejemplo: Varias columnas

Puedes agregar varias columnas separándolas con una coma. Las columnas aparecen en el orden en que las enumeras.

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Ejemplo: Definiciones de tablas

En Dashboards, la palabra clave table define el resultado de la columna, mientras que select o unselect administra los campos específicos que se muestran.

metadata.event_type = "USER_LOGIN"
select:
  principal.hostname

Consultas de agregación y estadísticas

En YARA-L, por lo general, colocas funciones de agregación y estadísticas en la sección outcome, mientras que la sección match define la base de agregación.

Las secciones select y unselect son mutuamente excluyentes y permiten a los usuarios incluir o excluir variables de resultado , variables de coincidencia, campos de eventos o campos de entidades.

Todas las búsquedas de UDM son búsquedas de un solo evento o búsquedas agregadas (también conocidas como estadísticas de eventos). Las búsquedas agregadas especifican la palabra clave match o usan funciones agregadas en el resultado (por ejemplo, sum o count).

Búsqueda agregada

El comando stats es la herramienta principal para la agregación de datos. Transforma los datos de eventos sin procesar en métricas de seguridad resumidas. Mientras que el comando eval controla las transformaciones a nivel de campo, fila por fila, stats realiza la agregación a nivel de conjunto (similar a GROUP BY en SQL).

Ejemplo: Búsqueda agregada

La siguiente consulta excluye la variable $count_hostname de la visualización final para enfocarse en la $count_id metric.

events:
  $e.metadata.event_type != "RESOURCE_CREATION"
  $e.principal.hostname = $hostname
  $id = $e.network.session_id

match:
  $hostname over 1h

outcome:
  $count_hostname = count($hostname)
  $count_id = count($id)

unselect:
  $count_hostname

Ejemplo: Variables de resultado en Search

También puedes usar una variable con la palabra clave select para mostrar un cálculo específico. En el siguiente ejemplo, se declara $seconds como una variable de resultado. Luego, la tabla Events muestra el valor $seconds como una columna.

principal.hostname = "alex-laptop"

outcome:
  $seconds = metadata.event_timestamp.seconds

limit: 10

select: $seconds, security_result.about.email

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.