Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Controlar colunas com palavras-chave select e unselect

Compatível com:

Google SecOps SIEM

Na Pesquisa e nos painéis, você pode usar as palavras-chave select e unselect para personalizar as colunas mostradas na tabela Eventos na guia Resultados (na Pesquisa) e nas tabelas nos widgets do painel.

Embora as colunas Timestamp e Event sejam mostradas por padrão, as palavras-chave select e unselect permitem adicionar ou remover campos específicos do Modelo de dados unificado (UDM, na sigla em inglês), variáveis outcome ou variáveis match para refinar a visualização.

As palavras-chave select e unselect são opcionais e não estão disponíveis nas regras.

select: especifica a lista de campos do UDM, variáveis outcome ou variáveis match a serem incluídas nos resultados da consulta.
unselect: especifica a lista de campos ou variáveis do UDM a serem excluídas dos resultados da consulta.

Exemplos de uso

Os exemplos nesta seção demonstram a sintaxe comum para usar as palavras-chave select e unselect em consultas de pesquisa.

Exemplo: pesquisa de evento único

A consulta a seguir pesquisa eventos conectados a alex-laptop e adiciona security_result.about.email como uma coluna à tabela Eventos:

principal.hostname = "alex-laptop"
limit: 10
select: security_result.about.email

Exemplo: várias colunas

Você pode adicionar várias colunas separando-as com uma vírgula. As colunas aparecem na ordem em que são listadas.

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Exemplo: definições de tabela

Nos painéis, a palavra-chave table define a saída da coluna, enquanto select ou unselect gerencia os campos específicos mostrados.

metadata.event_type = "USER_LOGIN"
select:
  principal.hostname

Consultas estatísticas e de agregação

No YARA-L, geralmente você coloca funções estatísticas e de agregação na seção outcome, enquanto a seção match define a base de agregação.

As seções select e unselect são mutuamente exclusivas e permitem que os usuários incluam ou excluam variáveis de resultado , variáveis de correspondência, campos de evento ou campos de entidade.

Todas as pesquisas do UDM são pesquisas de evento único ou pesquisas agregadas (também conhecidas como estatísticas de eventos). As pesquisas agregadas especificam a palavra-chave match ou usam funções agregadas na saída (por exemplo, sum ou count).

Pesquisa agregada

O comando stats é a principal ferramenta para agregação de dados. Ele transforma dados de eventos brutos em métricas de segurança resumidas. Enquanto o comando eval processa transformações de campo a campo, linha por linha, as estatísticas realizam a agregação no nível do conjunto (semelhante a GROUP BY em SQL).

Exemplo: pesquisa agregada

A consulta a seguir exclui a variável $count_hostname da exibição final para se concentrar na $count_id metric.

events:
  $e.metadata.event_type != "RESOURCE_CREATION"
  $e.principal.hostname = $hostname
  $id = $e.network.session_id

match:
  $hostname over 1h

outcome:
  $count_hostname = count($hostname)
  $count_id = count($id)

unselect:
  $count_hostname

Exemplo: variáveis de resultado na pesquisa

Você também pode usar uma variável com a palavra-chave select para mostrar um cálculo específico. O exemplo a seguir declara $seconds como uma variável de resultado. A tabela Events mostra o valor $seconds como uma coluna.

principal.hostname = "alex-laptop"

outcome:
  $seconds = metadata.event_timestamp.seconds

limit: 10

select: $seconds, security_result.about.email

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.