Esta página foi traduzida pela API Cloud Translation.

Controlar colunas usando palavras-chave de seleção e desmarcação

Compatível com:

Google SecOps SIEM

Na Pesquisa e nos painéis, use as palavras-chave select e unselect para personalizar as colunas mostradas na tabela Eventos da guia Resultados na Pesquisa e nas tabelas dos widgets do painel.

As colunas padrão são Carimbo de data/hora e Evento, que sempre são exibidas. As palavras-chave select e unselect adicionam e removem colunas, respectivamente, ao lado da coluna Evento.

select: adiciona as colunas especificadas à tabela Eventos.
unselect: remove as colunas especificadas da tabela Eventos.

Essas palavras-chave mudam apenas a forma como os eventos são exibidos.

Exemplos de uso

Os exemplos nesta seção demonstram a sintaxe comum para usar as palavras-chave select e unselect em consultas de pesquisa.

Por exemplo, a consulta a seguir pesquisa eventos vinculados a alex-laptop e adiciona security_result.about.email como uma coluna à tabela Eventos: none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

Exemplo de várias colunas

A tabela Eventos inclui target.asset.hostname como a primeira coluna (depois das colunas Carimbo de data/hora e Evento).

Por exemplo, é possível adicionar várias colunas:

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Exemplo de variável de resultado

É possível usar uma variável com a palavra-chave select. O exemplo a seguir declara $seconds como uma variável de resultado igual ao valor do campo metadata.event_timestamp.seconds do modelo de dados unificado (UDM). Em seguida, especifique-o usando a palavra-chave select, e o valor Seconds será mostrado como uma das colunas.

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

Exemplo de agregação e evento

As seções select e unselect são mutuamente exclusivas e permitem que os usuários incluam ou excluam variáveis de resultado, variáveis de correspondência, campos de evento ou campos de entidade.

Todas as pesquisas de UDM são de evento único ou agregadas (também conhecidas como estatísticas de eventos). As pesquisas agregadas especificam a palavra-chave match ou usam funções de agregação na saída (por exemplo, sum ou count).

Pesquisa de evento único

Este exemplo adiciona uma coluna para metadata.event_timestamp:

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

Pesquisa agregada

Neste exemplo, as colunas que representam $hostname e $count_id são adicionadas à tabela Eventos:

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.