キーワードの選択と選択解除を使用して列を制御する

以下でサポートされています。

検索とダッシュボードでは、select キーワードと unselect キーワードを使用して、検索の [結果] タブの [イベント] テーブルと、ダッシュボード ウィジェット内のテーブルに表示される列をカスタマイズできます。

デフォルトの列は [タイムスタンプ] と [イベント] で、常に表示されます。select キーワードと unselect キーワードは、それぞれ [イベント] 列の横に列を追加または削除します。

  • select: 指定された列を Events テーブルに追加します。
  • unselect: Events テーブルから指定された列を削除します。

これらのキーワードは、イベントの表示方法のみを変更します。

使用例

このセクションの例では、検索クエリで select キーワードと unselect キーワードを使用する一般的な構文を示します。

たとえば、次のクエリは alex-laptop に関連付けられたイベントを検索し、security_result.about.emailEvents テーブルの列として追加します。 none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

複数列の例

Events テーブルには、最初の列(Timestamp 列と Event 列の後)として target.asset.hostname が含まれています。

たとえば、複数の列を追加できます。

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

結果変数の例

select キーワードで変数を使用できます。次の例では、$secondsmetadata.event_timestamp.seconds 統合データモデル(UDM)フィールド値に等しい結果変数として宣言しています。select キーワードを使用して指定すると、Seconds 値が列の 1 つとして表示されます。

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

集計とイベントの例

select セクションと unselect セクションは相互に排他的であり、ユーザーは結果変数、一致変数、イベント フィールド、エンティティ フィールドを含めたり除外したりできます。

すべての UDM 検索は、単一イベント検索または集計検索(イベント統計とも呼ばれます)のいずれかです。集計検索では、match キーワードを指定するか、出力で集計関数(sumcount など)を使用します。

この例では、metadata.event_timestamp の列を追加します。

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

この例では、$hostname$count_id を表す列が Events テーブルに追加されます。

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。