Einem Dashboard Diagrammvisualisierung hinzufügen

Wenn Sie einem Dashboard ein Diagramm oder eine andere Visualisierung hinzufügen möchten, verwenden Sie eine Visualisierungskachel. Die Visualisierungskachel zeigt Daten aus der zugehörigen LookML-Ansicht an. Diese wird Erkunden, die Sie beim Erstellen der Kachel auswählen. In diesem Dokument wird Folgendes beschrieben:

• So erstellen Sie Diagramme und andere Visualisierungen mithilfe der Visualisierungskachel.
• Hier erfahren Sie, wie Sie Datenvisualisierungen für bestimmte Anwendungsfälle erstellen.

Vorgehensweise – Übersicht

Auf übergeordneter Ebene führen Sie die folgenden Aktionen aus, um eine Visualisierung in einem Dashboard zu erstellen:

1. Fügen Sie dem Dashboard eine Visualisierungskachel hinzu.
2. Wählen Sie das Explore aus. Ein Explore ist der Ausgangspunkt für das neue und stellt ein bestimmtes Datenmodell dar.
3. Wählen Sie Datenfelder für die Visualisierung aus. Vordefinierte Felder werden in einer der folgenden Typen: <ph type="x-smartling-placeholder">
   </ph>
   • Dimensionen: Attribute der Daten, die Daten beschreiben Beispiel: Die Quadratmeterzahl und Gebäudematerial eines Museums sind verschiedene Dimensionen innerhalb eines Museums-Datasets.
   • Messungen: numerische Darstellung einer oder mehrerer Dimensionen oder eines eindeutigen Datenattributs, z. B. als Anzahl oder Durchschnitt.
   • Nur-Filter-Felder: vordefinierte Felder, die nur in einem Filter verwendet werden können.
4. Optional können Sie für einen bestimmten Anwendungsfall benutzerdefinierte Felder erstellen und der Kachel hinzufügen.
5. Konfigurieren Sie die Kachel, indem Sie Folgendes auswählen: <ph type="x-smartling-placeholder">
   </ph>
   • Visualisierung: Hiermit werden die von Ihnen ausgewählten Felder visuell dargestellt. Ein Liniendiagramm kann beispielsweise Trends im Zeitverlauf darstellen.
   • Filter: Schränken Sie die Visualisierung so ein, dass nur relevante Daten angezeigt werden. Jedes Feld in einem Explore kann zum Erstellen eines Filters verwendet werden.
6. Führen Sie die Visualisierung aus, um eine Vorschau der Ergebnisse anzuzeigen.
7. Speichern Sie die Visualisierungskachel.

In den folgenden Abschnitten dieses Dokuments finden Sie ausführlichere Informationen zu Konfiguration jeder Komponente in einer Visualisierungskachel.

Beispiel: Datentabelle erstellen

In den folgenden Schritten wird ausführlicher beschrieben, wie Sie eine Datentabelle mithilfe eines Visualisierungskachel und zeigen die Konfigurationsoptionen im Dialogfeld Kachel bearbeiten an.

1. Wählen Sie unter Persönliche Dashboards oder Gemeinsam genutzte Dashboards ein Dashboard aus und Klicken Sie dann auf more_vert Dashboard-Aktionen > Dashboard bearbeiten.
2. Klicken Sie auf Hinzufügen > Visualisierung:
3. Wählen Sie ein Explore-Datenmodell aus. Das Dialogfeld Kachel bearbeiten wird angezeigt.
4. Geben Sie einen eindeutigen Kachelnamen ein.
5. Wählen Sie unter Alle Felder die vordefinierten Felder Dimensionen und Messungen aus. In der Regel müssen Sie mindestens zwei Felder auswählen, um eine Visualisierung zu erstellen. Die ausgewählten Felder werden im Bereich Daten angezeigt.
6. Optional können Sie für die Visualisierung benötigte benutzerdefinierte Felder erstellen und hinzufügen. Sie werden im Bereich Daten angezeigt.
7. Wählen Sie im Bereich Visualisierung die Option Tabelle als Visualisierungstyp aus. Die Visualisierung zeigt die ausgewählten Datenfelder in der Tabelle an.
8. Definieren Sie im Bereich Filter Filter, die den Filter um nur die Daten anzuzeigen, die für Sie von Interesse sind. Jedes Feld in einem Explore kann zum Erstellen eines Filters verwendet werden.
9. Führen Sie im Abschnitt Daten die folgenden Schritte aus: <ph type="x-smartling-placeholder">
   </ph>
   • Klicken Sie auf Feld-Header ansehen, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
   • Legen Sie das Zeilenlimit fest, um die Anzahl der Zeilen zu begrenzen, die in der Visualisierung angezeigt werden.
10. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit den SIEM-Daten von Google Security Operations anzusehen.
11. Klicken Sie auf Speichern. Das Dashboard wird mit der neu hinzugefügten Kachel angezeigt.

In der folgenden Abbildung ist die Position im Dialogfeld Kachel bearbeiten angegeben. in dem Sie diese Schritte durchführen.

Dialogfeld „Kachel bearbeiten“ mit Konfiguration

Explore-Datenmodell auswählen

Google Security Operations SIEM bietet mehrere Datenmodelle, mit denen Sie einem Dashboard. Jedes Datenmodell ist ein Looker-Explore, das eine Teilmenge von UDM-Feldern definiert.

Ein Explore ist ein Ausgangspunkt beim Erstellen einer neuen Visualisierungskachel. Sie wurde entwickelt, um ein bestimmtes Datenmodell zu erkunden. Sie wählen ein Datenmodell-Explore für jede Visualisierungskachel aus.

Google Security Operations SIEM bietet die folgenden Datenmodell-Explores:

• Entitätsdiagramm
• IOC-Übereinstimmungen
• Aufnahmemesswert mit Aufnahmestatistiken
• Aufnahmemesswerte
• Datenaufnahmestatistiken
• Regelerkennung
• Regelsätze mit Erkennungen
• UDM-Ereignisse
• UDM-Ereigniszusammenfassungen

Optional können Sie benutzerdefinierte Felder erstellen, die nur mit der Kachel verwendet werden, in der sie erstellt wurden.

Felder für die Diagrammvisualisierung auswählen

Nachdem Sie das Explore für eine Kachel ausgewählt haben, werden die vordefinierten UDM-Felder auf dem Tab Alle Felder im Dialogfeld Erkunden angezeigt.

Nachdem Sie auf dem Tab Alle Felder Felder ausgewählt haben, werden diese in beiden Tab In Verwendung und Bereich Daten In den folgenden Unterabschnitten wird beschrieben, die Feldtypen, die Sie auswählen können, um eine Diagrammvisualisierung zu erstellen.

Vordefinierte Felder

Jedes Explore enthält einen anderen Satz vordefinierter UDM-Felder. Die vordefinierten sind für das Datenmodell spezifisch, das Sie aus der Dialogfeld Wählen Sie ein Explore aus.

Vordefinierte Felder werden in folgende Typen gruppiert:

• Dimensionen
• Messungen
• Nur-Filter-Felder

Die Symbole neben den einzelnen Feldern zeigen weitere Informationen an und geben die verfügbaren Optionen an. z. B. Nach Feld filtern, Pivot-Daten, Zusammenfassen, Gruppieren oder Gruppe. Klicken Sie auf das Symbol Info, um Hilfetext für das Feld aufzurufen. Diese Symbole werden angezeigt, wenn du den Zeiger über ein Feld. Weitere Informationen finden Sie unter Feldspezifische Informationen und Aktionen.

Mit vordefinierten Feldern können Sie benutzerdefinierte Dimensionen, Tabellenkalkulationen erstellen und Filter auf die Kachel anwenden.

Ein Explore kann verworfene Felder enthalten, die nicht mehr unterstützt werden. Verworfene Felder sind durch einen Feldnamen gefolgt von [D] gekennzeichnet.

Bestimmte Datenmodelle enthalten vordefinierte Nur-Filter-Felder, die nur die in einem Filter verwendet werden. Die Nur-Filter-Felder in einem Datenmodell können ein oder mehrere der folgenden Feldtypen:

• Einzelne UDM-Felder
• Gruppierte UDM-Felder

Einige Explore-Datenmodelle, wie z. B. UDM-Ereignisse, enthalten detailliertere Messwerte für Felder, die einen Zeitstempel speichern (z. B. principal.artifact.first_seen_time) und security_result.about.file.last_modification_time).

Diese Messungen teilen den Zeitstempel in detailliertere Schritte auf, wie z. B. Stunde, Tag, Woche oder Jahr. Das Modell bietet auch ein Mindest- und ein Höchstmaß für jede inkrementiert. So können Sie detailliertere Diagramme erstellen, in denen die Anzahl der Ereignisse zusammengefasst wird basierend auf Zeit und Zeitabschnitten.

Benutzerdefinierte Felder

Benutzerdefinierte Felder sind Felder, die Sie mithilfe der vordefinierten Felder erstellen, die in das Datenmodell für die Kachel. Die benutzerdefinierten Felder können nur in dieser Kachel verwendet werden.

Sie können jede der folgenden Arten von benutzerdefinierten Feldern erstellen:

• Benutzerdefinierte Dimensionen
• Benutzerdefinierte Messungen
• Benutzerdefinierte Tabellenausdrücke

Um auf das Menü für benutzerdefinierte Felder im Dialogfeld Kachel bearbeiten zuzugreifen, klicken Sie auf + Hinzufügen unter Alle Felder > Benutzerdefinierte Felder. Die folgende Abbildung zeigt den Speicherort des Menüs.

Benutzerdefinierte Dimension erstellen

Benutzerdefinierte Dimensionen sind eindeutige Attribute, mit denen Sie Daten beschreiben können. Beispiel: kann die Verkettung des Vor- und Nachnamens eines Nutzers eine benutzerdefinierte Dimension sein.

So fügen Sie einer Kachel eine benutzerdefinierte Dimension hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen > Benutzerdefinierte Dimension. Das Dialogfeld Benutzerdefinierte Dimension erstellen wird angezeigt.
4. Führen Sie im Dialogfeld Benutzerdefinierte Dimension erstellen die folgenden Schritte aus: <ph type="x-smartling-placeholder">
   </ph>
   1. Geben Sie im Feld Ausdruck einen Looker-Ausdruck ein, der definiert den Wert mithilfe einer beliebigen Looker-Funktion und eines Looker-Operators. Im Looker-Ausdruckseditor werden Feldnamen vorgeschlagen und Syntaxhilfe für alle von Ihnen verwendeten Funktionen. Hier einige Beispielausdrücke: <ph type="x-smartling-placeholder">
      </ph>
      • Verkettet den IOC-Feednamen und den IOC-Wert. Sie können dieses Beispiel nur im Explore IOC Matches verwenden. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Gibt den ersten Wert zurück, der nicht leer ist. Die Reihenfolge lautet „Hostname“ und dann „IP-Adresse“. Wenn keines von beiden vorhanden ist, „_“ wird angezeigt. Sie können dieses Beispiel nur im Entity Graph-Explore verwenden. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Wählen Sie im Menü Format ein Format aus.
   3. Geben Sie den Namen der benutzerdefinierten Dimension in das Feld Name ein. Dieser Wert erscheint auf dem Tab Alle Felder und in der Tabelle Daten.
   4. Wählen Sie + Beschreibung hinzufügen aus, um im Feld Beschreibung eine Beschreibung hinzuzufügen.
   5. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern können Sie eine benutzerdefinierte Dimension auswählen, um sie der Kachel hinzuzufügen oder von ihr zu entfernen.

Benutzerdefinierte Messungen erstellen

Ein Maß ist eine numerische Darstellung einer oder mehrerer Dimensionen (oder eindeutiger Attribute) der Daten), z. B. Anzahl oder Durchschnitt. Mit Messwerten können Sie wichtige Leistungsindikatoren (KPIs) und helfen Nutzern, Daten mithilfe verschiedener aggregierter Attribute zu analysieren.

Mit benutzerdefinierten Messwerten können Sie eine bestimmte numerische Berechnung für ein Feld definieren. Je nach Feldtyp sind nur bestimmte Arten von Messwerten verfügbar.

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Messung zu einer Tile hinzuzufügen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen. und wählen Sie Benutzerdefinierter Messwert aus. Das Dialogfeld Benutzerdefinierten Messwert erstellen wird angezeigt.

4. Führen Sie im Dialogfeld Benutzerdefinierten Messwert erstellen die folgenden Schritte aus:

   1. Wählen Sie im Menü Zu messendes Feld ein Feld aus.
   2. Wählen Sie im Menü Messtyp einen Messwerttyp aus.
   3. Geben Sie in das Feld Name einen Namen ein. Der Name wird im Field Picker angezeigt und in der Datentabelle.

   4. Führen Sie auf dem Tab Filter die folgenden Schritte aus:

      1. Um eine Filterbedingung hinzuzufügen, wählen Sie ein Feld aus der Menü Filtername: Sie können Filterbedingungen hinzufügen oder entfernen: add_circle_outline und remove_circle_outline Schaltfläche Wert filtern.
      2. Klicken Sie auf den Pfeil neben Benutzerdefinierter Filter, um einen Ausdruck mit benutzerdefiniertem Filter mit beliebigem Looker-Funktion und -Operator, die verwendet werden können in benutzerdefinierten Filtern. Der Looker-Ausdruckseditor hat einige Vorschläge Feldnamen und zeigt die Syntaxhilfe für alle von Ihnen verwendeten Funktionen an. Hier einige Beispielausdrücke: <ph type="x-smartling-placeholder">
         </ph>
         • Misst IOC-Feedprotokolle für einzelne Werte. Sie können dieses Beispiel nur im Explore IOC Matches verwenden. ${ioc_matches.feed_log_type} != ""
         • Misst IOC-Tag-Bucket-Sekunden: ${ioc_matches.day_bucket_seconds}

   5. Gehen Sie auf dem Tab Felddetails so vor:

      • Wählen Sie im Menü Format ein Format aus.
      • Optional können Sie im Feld Beschreibung eine Beschreibung mit bis zu 255 Zeichen hinzufügen. , um anderen Nutzern zusätzliche Informationen zum benutzerdefinierten Feld zu geben.

   6. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern können Sie das benutzerdefinierte Feld auswählen, um es der Tile hinzuzufügen.

Benutzerdefinierte Tabellenkalkulation erstellen

Mit Tabellenkalkulationen können Sie Ad-hoc-Messwerte erstellen. Sie sind vergleichbar die in Tabellenkalkulationstools wie Google Tabellen zu finden sind.

Mit Google Security Operations können Sie einer Kachel benutzerdefinierte Berechnungen hinzufügen. Diese benutzerdefinierten Tabellenkalkulationen werden mit Looker-Ausdrücken erstellt. Tabellenkalkulationen können nur mithilfe von Feldern im Explore erstellt werden.

Führen Sie die folgenden Schritte aus, um eine Tabellenkalkulation zu erstellen und zu einer Tile hinzuzufügen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Gehen Sie im Bereich Benutzerdefinierte Felder des Dialogfelds Kachel bearbeiten folgendermaßen vor: Klicken Sie auf + Hinzufügen > Tabellenkalkulation. Das Dialogfeld Tabelle erstellen wird angezeigt.
4. Führen Sie im Dialogfeld Tabellenkalkulation erstellen die folgenden Schritte aus: <ph type="x-smartling-placeholder">
   </ph>
   1. Wählen Sie unter Berechnung einen Berechnungstyp aus. . Die Optionen für einen benutzerdefinierten Ausdruck werden standardmäßig angezeigt.
   2. Geben Sie einen Looker-Ausdruck in das Feld ein. um eine Berechnung zu definieren. Im Folgenden finden Sie Beispiele für Ausdrücke für Tabellenkalkulationen: <ph type="x-smartling-placeholder">
      </ph>
      • Der folgende Ausdruck verwendet die Funktion diff hours, um die Differenz zwischen zwei Zeitstempeln. Sie können dieses Beispiel verwenden, nur im Explore Regelerkennungen verfügbar. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • Der folgende Ausdruck zählt die IOC-Werte. Sie können dieses Beispiel verwenden, nur im Explore IOC Matches angezeigt. count(${ioc_matches.ioc_value})
   3. Wählen Sie im Menü Format ein Format aus.
   4. Geben Sie in das Feld Name einen Namen für die Berechnung ein.
   5. Wählen Sie + Beschreibung hinzufügen aus, um eine optionale Beschreibung für weitere Nutzenden erhalten mehr Kontext zur Tabellenkalkulation.
   6. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern können Sie das benutzerdefinierte Berechnungsfeld auswählen, um es zur Tile hinzuzufügen oder daraus zu entfernen.

Diagrammtyp für die Visualisierung auswählen

In Visualisierungen werden die Daten visuell dargestellt, damit Sie Anomalien und Trends erkennen können. Das SIEM-Dashboard von Google Security Operations basiert auf der Looker-Technologie, einschließlich Looker-Visualisierungen.

Im Folgenden finden Sie die Visualisierungstypen, die Sie in Google Security Operations SIEM verwenden können Dashboards:

• Optionen für Säulendiagramme
• Optionen für Balkendiagramme
• Optionen für Streudiagramme
• Optionen für Liniendiagramme
• Optionen für Flächendiagramme
• Optionen für Boxplot-Diagramme
• Optionen für Wasserfalldiagramme
• Optionen für Kreisdiagramme
• Optionen für Ringdiagramme
• Optionen für Trichterdiagramme
• Optionen für Zeitachsendiagramme
• Optionen für Einzelwertdiagramme
• Optionen für Diagramme mit einem einzelnen Datensatz
• Optionen für Tabellendiagramme
• Optionen für Tabellendiagramme (alte Version)
• Optionen für Wortwolkendiagramme
• Diagrammoptionen in Google Maps
• Optionen für Kartendiagramme
• Optionen für Diagramme mit statischen Karten (Regionen)
• Optionen für Diagramme (Punkte)

Mit der Schaltfläche Ausführen im Dialogfeld Kachel bearbeiten können Sie eine Vorschau anzeigen. mit den ausgewählten Feldern und dem Visualisierungstyp. Vorschau nach Anpassung aktualisieren und ändern Sie die Kachelkonfiguration, indem Sie auf Ausführen klicken.

Felder auswählen, die als Filter verwendet werden sollen

Mit Filtern können Sie die in der Visualisierung angezeigten Daten auf Elemente beschränken. von Interesse sein. Filter werden mithilfe von Feldern im Explore-Datenmodell erstellt.

Das SIEM-Dashboard von Google Security Operations basiert auf der Looker-Technologie, einschließlich Looker-Filtern. Sie können die folgenden Arten von Filtern erstellen: in einer Kachel:

• Standardfilter erstellen Filter mit vordefinierten oder benutzerdefinierten Feldern. Definieren Sie diese Filter mithilfe der Bereich Filter des Dialogfelds Kachel bearbeiten.
• Benutzerdefinierte Filter mit Looker-Ausdrücke: geben Sie eine detaillierte Geschäftslogik an, kombinieren Sie beides AND- und OR-Logik oder verwenden Sie Looker-Funktionen. Klicken Sie auf den Tab Benutzerdefinierter Ausdruck. im Abschnitt Filter des Dialogfelds Kachel bearbeiten klicken.

Bestimmte vordefinierte Felder stehen zur Verwendung in einem Filter zur Verfügung. Diese Felder erscheinen im Bereich Alle Felder nur dann, wenn das Datenmodell vordefinierte Nur-Filter-Felder enthält.

So fügen Sie einer Tile einen Filter hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Wählen Sie im Bereich Alle Felder die Felder aus, die Sie als Filter verwenden möchten. Klicken Sie dazu neben dem jeweiligen Feldnamen auf filter_list Nach Feld filtern.

4. Im Bereich Filter haben Sie folgende Möglichkeiten:

   • Definieren Sie die Filterbedingungen für jedes Feld, das im Abschnitt Filter aufgeführt ist.
   • Klicken Sie auf Benutzerdefinierter Ausdruck und fügen Sie Werte in das Feld Benutzerdefinierter Filter ein.

5. Klicken Sie auf Ausführen, um die Visualisierungsvorschau zu aktualisieren.

Beispiele für die Lösung bestimmter Anwendungsfälle

In den folgenden Abschnitten wird beschrieben, wie Sie Visualisierungen erstellen, Anwendungsfälle.

Kachel erstellen, die IOC-Typen anzeigt

So fügen Sie dem Dashboard eine Kachel hinzu, um IOC-Typen zu überwachen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung:
3. Wählen Sie im Dialogfeld Auswählen eines Explores die Option IOC-Übereinstimmungen aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die folgenden Dimensionen aus: Ioc Type und Datum des Ereigniszeitstempels > Date fest.
6. Wählen Sie die folgenden Measures aus: Count.
7. Bewegen Sie den Mauszeiger auf dem Tab In Verwendung über Date Event Timestamp Date und wählen Sie dann filter_list Nach Feld filtern aus. Dadurch wird das Feld dem Abschnitt Filter hinzugefügt.
8. Wenden Sie im Bereich Filter die gewünschten Filterbedingungen an.
9. Wählen Sie im Bereich Visualisierung das Spaltensymbol aus.

10. Führen Sie im Abschnitt Daten die folgenden Schritte aus:

    • Klicken Sie auf den Header Anzahl der Übereinstimmungen, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Legen Sie das Zeilenlimit auf einen Wert wie 50 fest, um die in der Visualisierung angezeigten Zeilen zu begrenzen.

11. Klicken Sie nach dem Konfigurieren der Kachel auf Ausführen, um eine Vorschau der Visualisierung anzuzeigen. mithilfe von Google Security Operations-Daten. Die Vorschau wird mit den IOC-Typen nach IOC stimmen mit dem Datum des Ereigniszeitstempels überein.

    Die folgende Abbildung zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.

    

12. Klicken Sie auf Speichern.

Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.

Kachel mit Aufzählungsfeldern erstellen

Das einheitliche Datenmodell von Google Security Operations SIEM umfasst mehrere Aufzählungsfelder mit als Text und als Zahlen gespeichert. Die mit jedem enum-Feld verknüpften Werte können sind in der UDM-Feldliste enthalten.

In einigen Explores werden der Textwert und der numerische Wert des Enum-Felds in separaten Feldern. Beispiel: Mit dem Feld metadata.event_type Einer der enum-Werte ist FILE_CREATION und die zugehörige Zahl 14.001.

In einem Explore werden die metadata.event_type-Werte in den folgenden Feldern gespeichert:

• metadata.event_type speichert den numerischen Wert 14001.
• metadata.event_type_enum_name speichert den Textwert FILE_CREATION.

Fügen Sie beim Hinzufügen eines Aufzählungsfelds zu einer Tile das Feld hinzu, in dem der Textwert gespeichert ist, die Zahl.

Gehen Sie wie folgt vor, um eine Kachel mit Aufzählungsfeldern zu Dashboard:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung:
3. Wählen Sie im Dialogfeld Wählen Sie ein Explore aus die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Suchen Sie unter Feld suchen nach einem UDM-Feld wie metadata.event_type.
6. Wählen Sie unter Dimensionen die Optionen metadata.event_type_enum_name und security_result.action_enum_name aus.
7. Wählen Sie unter Measures (Messungen) die Option Count (Anzahl) aus.
8. Halten Sie auf dem Tab In Verwendung den Mauszeiger über security_result.action_enum_name. und wählen Sie dann filter_listNach Feld filtern aus. Daraufhin werden die Filter des ausgewählten Felds im Bereich Filter angezeigt.
9. Wählen Sie im Bereich Filter die Option ist gleich und dann BLOCKIEREN als Werte aus.
10. Wählen Sie im Bereich Visualisierung das Symbol Tabelle aus.

11. Führen Sie im Abschnitt Daten die folgenden Schritte aus:

    • Klicken Sie auf den Header UDM-Anzahl, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Legen Sie das Zeilenlimit auf einen Wert (z. B. 50) fest, um die in der Visualisierung angezeigten Zeilen zu begrenzen.

12. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit Google Security Operations-Daten anzuzeigen. Die Vorschau wird angezeigt mit den Werten für metadata.event_type nach Anzahl. Dabei ist der Name von security_result.action_enum BLOCK.

    Die folgende Abbildung zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.

    

13. Klicken Sie auf Speichern.

Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.

Pivot in einer Datentabelle verwenden

Mit einem Pivot lässt sich die Anzahl der Ereignisse in mehreren Dimensionen darstellen.

In der folgenden Kachel wird die Anzahl der Ereignisse für alle Werte im metadata.event_type_enum_name- und security_result_action_enum_name-Felder. In diesem Beispiel wird ein Pivot auf das Feld security_result_action_enum_name angewendet.

Führen Sie die folgenden Schritte aus, um diese Datentabelle mit einem Pivot zu erstellen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung:
3. Wählen Sie im Dialogfeld Wählen Sie ein Explore aus die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die Dimensionsfelder metadata.event_type_enum_name und security_result_action_enum_name aus.
6. Wählen Sie das Messwert-Feld Count aus.
7. Erstellen Sie im Abschnitt Filter die folgenden Filter: <ph type="x-smartling-placeholder">
   </ph>
   • UDM metadata_event_timestamp in den letzten 2 Stunden.
   • UDM security_result.action_enum_name ist nicht null.
8. Prüfen Sie auf dem Tab In Verwendung, ob die folgenden Felder angezeigt werden. Falls vorhanden fehlen, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
   • metadata.event_timestamp
   • metadata.event_type_enum_name – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Klicken Sie im Bereich Daten auf das Symbol settings. in der Spaltenüberschrift security_result.action_enum_name und wählen Sie dann Pivot aus.
10. Im Raster unter Daten wird eine neue Zeile angezeigt.
11. Wählen Sie im Bereich Visualisierung das Symbol Tabelle aus.
12. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.

In der folgenden Abbildung sind diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten dargestellt.

Konfigurationsoptionen für Pivot-Tabellen in einer Datentabelle

Zeitdiagramme mithilfe von Pivot-Tabellen und Datumsfeldern erstellen

Sie können einen Pivot mit Datumsfeldern verwenden, um ein Zeitdiagramm zu erstellen. Die folgenden zeigt die stündliche Ereignisanzahl für Werte in den Feldern security_result_action_enum_name an.

In diesem Beispiel wird ein Pivot auf das Feld security_result_action_enum_name angewendet. Der Filter schränkt den Datumsbereich ein und filtert Daten heraus, in denen der security_result_action_enum_name Wert null ist. Es wird das vordefinierte Datumsfeld metadata.event_timestamp Hour verwendet. die Daten nach Stunde partitioniert.

So verwenden Sie einen Pivot mit Datenfeldern:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung:
3. Wählen Sie im Dialogfeld Wählen Sie ein Explore aus die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die Felder unter Dimension aus: metadata.event_timestamp Hour und security_result_action_enum_name.
6. Wählen Sie das Feld Measure (Messen) aus: Count.
7. Erstellen Sie im Abschnitt Filter die folgenden Filter: <ph type="x-smartling-placeholder">
   </ph>
   • UDM metadata_event_timestamp liegt im Bereich und wählen Sie dann sowohl ein Start- als auch ein Enddatum und eine Uhrzeit aus.
   • UDM security_result.action_enum_name ist nicht null.
8. Prüfen Sie auf dem Tab In Verwendung, ob die folgenden Felder angezeigt werden. Falls vorhanden fehlen, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Klicken Sie im Bereich Daten auf das Symbol settings. in der Spaltenüberschrift security_result.action_enum_name und wählen Sie dann Pivot aus. Im Datenraster wird eine neue Zeile angezeigt.
10. Wählen Sie im Bereich Visualisierung das Symbol Tabelle aus.
11. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.

In der folgenden Abbildung sind diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten dargestellt.

Konfigurationsoptionen für Pivot in einem Datumsfeld

Diagramm mit detaillierten Zeitstempelmesswerten erstellen

Sie können ein Diagramm mit der Anzahl der Ereignisse für jeden Logtyp zusammen mit dem ältesten Logtyp erstellen (min) und Zeitstempel des letzten Ereignisses (max). In diesem Diagramm wird die metadata.product_name verwendet zur Identifizierung des Logtyps.

So erstellen Sie ein Diagramm mit den Zeitstempeln min oder max:

1. Öffnen Sie zum Bearbeiten ein vorhandenes Dashboard. oder erstellen Sie ein neues Dashboard.

2. Klicken Sie auf Hinzufügen > Visualisierung:

3. Wählen Sie im Dialogfeld Wählen Sie ein Explore aus die Option UDM-Ereignisse aus.

4. Geben Sie einen Kachelnamen ein.

5. Wählen Sie das Feld Dimension aus: metadata.product_name.

6. Wählen Sie die Measure-Felder aus: Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date

7. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung anzuzeigen. Die Vorschau wird mit metadata.event_timestamp (min) Date und metadata.event_timestamp (max) Date angezeigt. -Werte im Datumsformat.

8. Klicken Sie auf Speichern. Die Seite Dashboards mit dem neu hinzugefügten Diagramm wird angezeigt. Das Diagramm enthält die Spalten metadata.product_name, UDM, metadata.event_timestamp (min) Date und metadata.event_timestamp (max) Date mit Werten.