Esta página foi traduzida pela API Cloud Translation.

Controle as colunas através da seleção e da desmarcação de palavras-chave

Compatível com:

Google secops SIEM

Na Pesquisa e nos painéis de controlo, pode usar as palavras-chave select e unselect para personalizar as colunas apresentadas na tabela Eventos no separador Resultados na Pesquisa e nas tabelas nos widgets do painel de controlo.

As colunas predefinidas são Data/hora e Evento, e são sempre apresentadas. As palavras-chave select e unselect adicionam e removem colunas, respetivamente, junto à coluna Evento.

select: adiciona as colunas especificadas à tabela Eventos
unselect: remove as colunas especificadas da tabela Events

Estas palavras-chave alteram apenas a forma como os eventos são apresentados.

Exemplos de utilização

Os exemplos nesta secção demonstram a sintaxe comum para usar as palavras-chave select e unselect em consultas de pesquisa.

Por exemplo, a seguinte consulta pesquisa eventos associados a alex-laptop e adiciona security_result.about.email como uma coluna à tabela Eventos: none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

Exemplo de várias colunas

A tabela Eventos inclui target.asset.hostname como a primeira coluna (depois das colunas Data/hora e Evento).

Por exemplo, pode adicionar várias colunas:

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Exemplo de variável de resultado

Pode usar uma variável com a palavra-chave select. O exemplo seguinte declara $seconds como uma variável de resultado igual ao valor do campo do metadata.event_timestamp.seconds modelo de dados unificado (UDM). Em seguida, pode especificá-lo usando a palavra-chave select e o valor Seconds é apresentado como uma das colunas.

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

Exemplo de agregação e evento

As secções select e unselect são mutuamente exclusivas e permitem que os utilizadores incluam ou excluam variáveis de resultados, variáveis de correspondência, campos de eventos ou campos de entidades.

Todas as pesquisas da UDM são pesquisas de evento único ou pesquisas agregadas (também conhecidas como estatísticas de eventos). As pesquisas agregadas especificam a palavra-chave match ou usam funções agregadas no resultado (por exemplo, sum ou count).

Pesquisa de evento único

Este exemplo adiciona uma coluna para metadata.event_timestamp:

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

Pesquisa agregada

Neste exemplo, as colunas que representam $hostname e $count_id são adicionadas à tabela Eventos:

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.