Contrôler les colonnes avec des mots clés de sélection et de désélection

Compatible avec :

Dans "Rechercher et tableaux de bord", vous pouvez utiliser les mots clés select et unselect pour personnaliser les colonnes affichées dans le tableau Événements de l'onglet Résultats (dans "Rechercher") et dans les tableaux des widgets de tableau de bord.

Les colonnes Code temporel et Événement s'affichent par défaut. Toutefois, les mots clés select et unselect vous permettent d'ajouter ou de supprimer des champs spécifiques du modèle de données unifié (UDM), des variables outcome ou des variables match pour affiner votre vue.

Les mots clés select et unselect sont facultatifs et ne sont pas disponibles dans les règles.

  • select : spécifie la liste des champs UDM, des variables outcome ou des variables match à inclure dans les résultats de la requête.
  • unselect : spécifie la liste des champs ou variables UDM à exclure des résultats de la requête.

Exemples d'utilisation

Les exemples de cette section illustrent la syntaxe courante pour utiliser les mots clés select et unselect dans les requêtes de recherche.

La requête suivante recherche les événements associés à alex-laptop et ajoute security_result.about.email en tant que colonne au tableau Événements :

principal.hostname = "alex-laptop"
limit: 10
select: security_result.about.email

Exemple : Plusieurs colonnes

Vous pouvez ajouter plusieurs colonnes en les séparant par une virgule. Les colonnes s'affichent dans l'ordre dans lequel vous les avez listées.

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Exemple : Définitions de tables

Dans les tableaux de bord, le mot clé table définit la colonne de sortie, tandis que select ou unselect gèrent les champs spécifiques affichés.

metadata.event_type = "USER_LOGIN"
select:
  principal.hostname

Requêtes d'agrégation et statistiques

Dans YARA-L, vous placez généralement les fonctions d'agrégation et statistiques dans la section outcome, tandis que la section match définit la base d'agrégation.

Les sections select et unselect s'excluent mutuellement et permettent aux utilisateurs d'inclure ou d'exclure des variables de résultat, des variables de correspondance, des champs d'événement ou des champs d'entité.

Toutes les recherches UDM sont des recherches d'événements uniques ou des recherches agrégées (également appelées statistiques d'événements). Les recherches agrégées spécifient le mot clé match ou utilisent des fonctions d'agrégation dans le résultat (par exemple, sum ou count).

La commande stats est l'outil principal pour l'agrégation de données. Il transforme les données brutes des événements en métriques de sécurité résumées. Alors que la commande eval gère les transformations au niveau des champs, ligne par ligne, stats effectue une agrégation au niveau de l'ensemble (semblable à GROUP BY en SQL).

La requête suivante exclut la variable $count_hostname de l'affichage final pour se concentrer sur $count_id metric.

events:
  $e.metadata.event_type != "RESOURCE_CREATION"
  $e.principal.hostname = $hostname
  $id = $e.network.session_id

match:
  $hostname over 1h

outcome:
  $count_hostname = count($hostname)
  $count_id = count($id)

unselect:
  $count_hostname

Vous pouvez également utiliser une variable avec le mot clé select pour afficher un calcul spécifique. L'exemple suivant déclare $seconds comme variable de résultat. Le tableau Events affiche ensuite la valeur $seconds sous forme de colonne.

principal.hostname = "alex-laptop"

outcome:
  $seconds = metadata.event_timestamp.seconds

limit: 10

select: $seconds, security_result.about.email

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.