Questa pagina è stata tradotta dall'API Cloud Translation.

Controllare le colonne utilizzando le parole chiave selezionate e deselezionate

Supportato in:

Google SecOps SIEM

In Ricerca e dashboard, puoi utilizzare le parole chiave select e unselect per personalizzare le colonne visualizzate nella tabella Eventi nella scheda Risultati in Ricerca e nelle tabelle all'interno dei widget della dashboard.

Le colonne predefinite sono Timestamp ed Evento e vengono sempre visualizzate. Le parole chiave select e unselect aggiungono e rimuovono colonne rispettivamente accanto alla colonna Evento.

select: aggiunge le colonne specificate alla tabella Eventi
unselect: rimuove le colonne specificate dalla tabella Eventi

Queste parole chiave modificano solo la modalità di visualizzazione degli eventi.

Esempi di utilizzo

Gli esempi in questa sezione mostrano la sintassi comune per l'utilizzo delle parole chiave select e unselect nelle query di ricerca.

Ad esempio, la seguente query cerca gli eventi associati a alex-laptop e aggiunge security_result.about.email come colonna alla tabella Eventi: none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

Esempio di più colonne

La tabella Eventi include target.asset.hostname come prima colonna (dopo le colonne Timestamp ed Evento).

Ad esempio, puoi aggiungere più colonne:

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Esempio di variabile di risultato

Puoi utilizzare una variabile con la parola chiave select. Il seguente esempio dichiara $seconds come variabile di risultato uguale al valore del campo Unified Data Model (UDM) metadata.event_timestamp.seconds. Puoi quindi specificarlo utilizzando la parola chiave select e il valore Seconds viene visualizzato come una delle colonne.

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

Esempio di aggregazione ed evento

Le sezioni select e unselect si escludono a vicenda e consentono agli utenti di includere o escludere variabili di risultato, variabili di corrispondenza, campi evento o campi entità.

Tutte le ricerche UDM sono ricerche di singoli eventi o ricerche aggregate (note anche come statistiche sugli eventi). Le ricerche aggregate specificano la parola chiave match o utilizzano funzioni aggregate nell'output (ad esempio, sum o count).

Ricerca di un singolo evento

Questo esempio aggiunge una colonna per metadata.event_timestamp:

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

Ricerca aggregata

In questo esempio, alla tabella Eventi vengono aggiunte colonne che rappresentano $hostname e $count_id:

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.