Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Controllare le colonne con le parole chiave di selezione e deselezione

Supportato in:

Google SecOps SIEM

In Ricerca e dashboard, puoi utilizzare le parole chiave select e unselect per personalizzare le colonne visualizzate nella tabella Eventi nella scheda Risultati (in Ricerca) e nelle tabelle all'interno dei widget della dashboard.

Anche se le colonne Timestamp ed Evento vengono visualizzate per impostazione predefinita, le parole chiave select e unselect ti consentono di aggiungere o rimuovere campi UDM (Unified Data Model) specifici, variabili outcome o variabili match per perfezionare la visualizzazione.

Le parole chiave select e unselect sono facoltative e non sono disponibili nelle regole.

select: specifica l'elenco dei campi UDM, delle variabili outcome o delle variabili match da includere nei risultati della query.
unselect: specifica l'elenco di campi o variabili UDM da escludere dai risultati della query.

Esempi di utilizzo

Gli esempi in questa sezione mostrano la sintassi comune per l'utilizzo delle parole chiave select e unselect nelle query di ricerca.

Esempio: ricerca di un singolo evento

La seguente query cerca gli eventi collegati a alex-laptop e aggiunge security_result.about.email come colonna alla tabella Eventi:

principal.hostname = "alex-laptop"
limit: 10
select: security_result.about.email

Esempio: più colonne

Puoi aggiungere più colonne separandole con una virgola. Le colonne vengono visualizzate nell'ordine in cui le elenchi.

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Esempio: definizioni delle tabelle

Nei dashboard, la parola chiave table definisce l'output della colonna, mentre select o unselect gestiscono i campi specifici visualizzati.

metadata.event_type = "USER_LOGIN"
select:
  principal.hostname

Query di aggregazione e statistiche

In YARA-L, in genere inserisci le funzioni di aggregazione e statistiche nella sezione outcome, mentre la sezione match definisce la base di aggregazione.

Le sezioni select e unselect si escludono a vicenda e consentono agli utenti di includere o escludere variabili di risultato, variabili di corrispondenza, campi evento o campi entità.

Tutte le ricerche UDM sono ricerche di singoli eventi o ricerche aggregate (note anche come statistiche sugli eventi). Le ricerche aggregate specificano la parola chiave match o utilizzano funzioni aggregate nell'output (ad esempio, sum o count).

Ricerca aggregata

Il comando stats è lo strumento principale per l'aggregazione dei dati. Trasforma i dati degli eventi non elaborati in metriche di sicurezza riepilogative. Mentre il comando eval gestisce le trasformazioni a livello di campo, riga per riga, stats esegue l'aggregazione a livello di set (simile a GROUP BY in SQL).

Esempio: ricerca aggregata

La seguente query esclude la variabile $count_hostname dalla visualizzazione finale per concentrarsi su $count_id metric.

events:
  $e.metadata.event_type != "RESOURCE_CREATION"
  $e.principal.hostname = $hostname
  $id = $e.network.session_id

match:
  $hostname over 1h

outcome:
  $count_hostname = count($hostname)
  $count_id = count($id)

unselect:
  $count_hostname

Esempio: variabili di risultato nella Ricerca

Puoi anche utilizzare una variabile con la parola chiave select per visualizzare un calcolo specifico. L'esempio seguente dichiara $seconds come variabile di risultato. La tabella Events mostra quindi il valore $seconds come colonna.

principal.hostname = "alex-laptop"

outcome:
  $seconds = metadata.event_timestamp.seconds

limit: 10

select: $seconds, security_result.about.email

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.