Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengontrol kolom dengan kata kunci pilih dan batalkan pilihan

Didukung di:

Google SecOps SIEM

Di Penelusuran dan Dasbor, Anda dapat menggunakan kata kunci select dan unselect untuk menyesuaikan kolom yang ditampilkan dalam tabel Peristiwa di tab Hasil (di Penelusuran) dan tabel dalam widget dasbor.

Meskipun kolom Stempel Waktu dan Peristiwa ditampilkan secara default, kata kunci select dan unselect memungkinkan Anda menambahkan atau menghapus kolom Unified Data Model (UDM) tertentu, variabel outcome, atau variabel match untuk menyempurnakan tampilan.

Kata kunci select dan unselect bersifat opsional dan tidak tersedia di Aturan.

select: Menentukan daftar kolom UDM, variabel outcome, atau variabel match yang akan disertakan dalam hasil kueri.
unselect: Menentukan daftar kolom atau variabel UDM yang akan dikecualikan dari hasil kueri.

Contoh penggunaan

Contoh di bagian ini menunjukkan sintaksis umum untuk menggunakan kata kunci select dan unselect dalam kueri Penelusuran.

Contoh: Penelusuran satu peristiwa

Kueri berikut menelusuri peristiwa yang terhubung ke alex-laptop dan menambahkan security_result.about.email sebagai kolom ke tabel Peristiwa:

principal.hostname = "alex-laptop"
limit: 10
select: security_result.about.email

Contoh: Beberapa kolom

Anda dapat menambahkan beberapa kolom dengan memisahkannya menggunakan koma. Kolom akan muncul sesuai urutan yang Anda cantumkan.

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Contoh: Definisi tabel

Di Dasbor, kata kunci table menentukan output kolom, sementara select atau unselect mengelola kolom tertentu yang ditampilkan.

metadata.event_type = "USER_LOGIN"
select:
  principal.hostname

Kueri agregasi dan statistik

Di YARA-L, Anda biasanya menempatkan fungsi agregasi dan statistik di bagian outcome, sedangkan bagian match menentukan dasar agregasi.

Bagian select dan unselect bersifat eksklusif dan memungkinkan pengguna menyertakan atau mengecualikan variabel hasil, variabel kecocokan, kolom peristiwa, atau kolom entitas.

Semua penelusuran UDM adalah penelusuran peristiwa tunggal atau penelusuran gabungan (juga dikenal sebagai statistik peristiwa). Penelusuran gabungan menentukan kata kunci match atau menggunakan fungsi gabungan dalam output (misalnya, sum atau count).

Penelusuran gabungan

Perintah stats adalah alat utama untuk agregasi data. Platform ini mengubah data peristiwa mentah menjadi metrik keamanan yang diringkas. Meskipun perintah eval menangani transformasi tingkat kolom, baris demi baris, stats melakukan agregasi tingkat set (mirip dengan GROUP BY di SQL).

Contoh: Penelusuran gabungan

Kueri berikut mengecualikan variabel $count_hostname dari tampilan akhir untuk berfokus pada $count_id metric.

events:
  $e.metadata.event_type != "RESOURCE_CREATION"
  $e.principal.hostname = $hostname
  $id = $e.network.session_id

match:
  $hostname over 1h

outcome:
  $count_hostname = count($hostname)
  $count_id = count($id)

unselect:
  $count_hostname

Contoh: Variabel hasil di Penelusuran

Anda juga dapat menggunakan variabel dengan kata kunci select untuk menampilkan perhitungan tertentu. Contoh berikut mendeklarasikan $seconds sebagai variabel hasil. Tabel Events kemudian menampilkan nilai $seconds sebagai kolom.

principal.hostname = "alex-laptop"

outcome:
  $seconds = metadata.event_timestamp.seconds

limit: 10

select: $seconds, security_result.about.email

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.