select 및 unselect 키워드로 열 제어

다음에서 지원:

검색 및 대시보드에서 selectunselect 키워드를 사용하여 결과 탭 (검색)의 이벤트 테이블과 대시보드 위젯 내 테이블에 표시되는 열을 맞춤설정할 수 있습니다.

타임스탬프이벤트 열은 기본적으로 표시되지만 selectunselect 키워드를 사용하면 특정 통합 데이터 모델 (UDM) 필드, outcome 변수 또는 match 변수를 추가하거나 삭제하여 뷰를 구체화할 수 있습니다.

selectunselect 키워드는 선택사항이며 규칙에서는 사용할 수 없습니다.

  • select: 쿼리 결과에 포함할 UDM 필드, outcome 변수 또는 match 변수의 목록을 지정합니다.
  • unselect: 쿼리 결과에서 제외할 UDM 필드 또는 변수의 목록을 지정합니다.

사용 예시

이 섹션의 예에서는 검색 쿼리에서 selectunselect 키워드를 사용하는 일반적인 문법을 보여줍니다.

다음 쿼리는 alex-laptop에 연결된 이벤트를 검색하고 security_result.about.email이벤트 테이블에 열로 추가합니다.

principal.hostname = "alex-laptop"
limit: 10
select: security_result.about.email

예: 여러 열

쉼표로 구분하여 여러 열을 추가할 수 있습니다. 열은 나열한 순서대로 표시됩니다.

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

예: 테이블 정의

대시보드에서 table 키워드는 열 출력을 정의하고 select 또는 unselect는 표시되는 특정 필드를 관리합니다.

metadata.event_type = "USER_LOGIN"
select:
  principal.hostname

집계 및 통계 쿼리

YARA-L에서는 일반적으로 집계 및 통계 함수를 outcome 섹션에 배치하고 match 섹션은 집계 기준을 정의합니다.

selectunselect 섹션은 상호 배타적이며 사용자가 결과 변수, 일치 변수, 이벤트 필드 또는 항목 필드를 포함하거나 제외할 수 있습니다.

모든 UDM 검색은 단일 이벤트 검색 또는 집계 검색 (이벤트 통계 라고도 함)입니다. 집계 검색은 match 키워드를 지정하거나 출력에서 집계 함수 (예: sum 또는 count)를 사용합니다.

stats 명령어는 데이터 집계를 위한 기본 도구입니다. 원시 이벤트 데이터를 요약된 보안 측정항목으로 변환합니다. eval 명령어는 필드 수준의 행별 변환을 처리하는 반면 stats는 집합 수준 집계를 실행합니다 (SQL의 GROUP BY와 유사).

다음 쿼리는 $count_id metric에 집중하기 위해 최종 표시에서 $count_hostname 변수를 제외합니다.

events:
  $e.metadata.event_type != "RESOURCE_CREATION"
  $e.principal.hostname = $hostname
  $id = $e.network.session_id

match:
  $hostname over 1h

outcome:
  $count_hostname = count($hostname)
  $count_id = count($id)

unselect:
  $count_hostname

select 키워드와 함께 변수를 사용하여 특정 계산을 표시할 수도 있습니다. 다음 예에서는 $seconds를 결과 변수로 선언합니다. 그러면 Events 테이블에 $seconds 값이 열로 표시됩니다.

principal.hostname = "alex-laptop"

outcome:
  $seconds = metadata.event_timestamp.seconds

limit: 10

select: $seconds, security_result.about.email

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.