Adicionar uma visualização de gráfico a um painel

Para adicionar um gráfico ou outra visualização a um dashboard, use um bloco de visualização. O bloco de visualização exibe dados da visualização do LookML associada, chamada de um Análise, selecionada ao criar o bloco. Neste documento, descrevemos o seguinte:

• Como criar gráficos e outras visualizações usando o bloco de visualização.
• Como criar visualizações de dados que atendam a casos de uso específicos.

Visão geral do processo

Em um nível superior, você realiza as seguintes ações para criar uma visualização em um dashboard:

1. Adicione um bloco de visualização ao painel.
2. Selecione "Explorar". Uma Análise é um ponto de partida para e representa um modelo de dados específico.
3. Selecionar campos de dados para a visualização. Os campos predefinidos são agrupados em um dos os seguintes tipos:
   • Dimensões: atributos dos dados que descrevem os dados. Exemplo: a metragem quadrada e o material de construção de um museu são dimensões diferentes em um conjunto de dados de museu.
   • Medidas: representação numérica de uma ou mais dimensões, ou atributo exclusivo dos dados, como como contagem ou média.
   • Campos somente para filtros: campos predefinidos que só podem ser usados em um filtro.
4. Também é possível criar e adicionar campos personalizados ao bloco com suporte a um caso de uso específico.
5. Configure o bloco selecionando o seguinte:
   • Visualização: mostra os campos que você selecionou visualmente. Por exemplo, um gráfico de linhas pode mostrar tendências ao longo do tempo.
   • Filtros: restringem a visualização para mostrar apenas os dados de interesse. Qualquer campo em uma Análise detalhada pode ser usado para criar um filtro.
6. Execute a visualização para conferir os resultados.
7. Salve o bloco de visualização.

As seções a seguir deste documento fornecem informações mais detalhadas sobre configurar cada componente em um bloco de visualização.

Exemplo: criar uma tabela de dados

As etapas a seguir fornecem mais detalhes sobre como criar uma tabela de dados usando um bloco de visualização e mostram as opções de configuração na caixa de diálogo Editar bloco.

1. Em Painéis pessoais ou Painéis compartilhados, selecione um painel e e clique em more_vert Ações do dashboard > Editar painel.
2. Clique em Adicionar > Visualização.
3. Selecione um modelo de dados Análise. A caixa de diálogo Editar bloco é exibida.
4. Insira um nome exclusivo para o bloco.
5. Em Todos os campos, selecione os campos predefinidos: Dimensões e Medidas. Normalmente, é preciso escolher pelo menos dois campos para criar uma visualização. Os campos selecionados aparecem na seção Dados.
6. Opcionalmente, crie e adicione quaisquer campos personalizados necessários para a visualização. Eles aparecerão na seção Dados.
7. Na seção Visualização, selecione Tabela como o tipo de visualização. A visualização mostra os campos de dados selecionados na tabela.
8. Na seção Filtros, defina filtros que restrinjam a visualização para mostrar apenas os dados de interesse. Qualquer campo em uma Análise detalhada pode ser usado para criar um filtro.
9. Na seção Dados, faça o seguinte:
   • Clique em Explorar o cabeçalho do campo para classificar os campos em ordem crescente ou decrescente.
   • Defina o Limite de linhas para limitar o número de linhas que aparecem na visualização.
10. Clique em Executar para visualizar a visualização usando os dados do SIEM do Google Security Operations.
11. Clique em Salvar. O Painel vai aparecer com o bloco recém-adicionado.

A imagem a seguir identifica o local na caixa de diálogo Edit Tile em que você realiza essas etapas.

Caixa de diálogo "Editar bloco de bloco com configuração"

Escolher um modelo de dados da Análise

O SIEM do Google Security Operations fornece vários modelos de dados que você pode usar para criar em um painel. Cada modelo de dados é uma análise do Looker que define um subconjunto de campos do UDM.

Uma Análise é um ponto de partida ao criar um novo bloco de visualização. Ele foi projetado para analisar um modelo de dados específico. Você seleciona uma Análise de modelo de dados para cada bloco de visualização.

O SIEM do Google Security Operations oferece o seguinte modelo de dados da Análises:

• Gráfico de entidades
• Correspondências de IOC
• Métrica de ingestão com estatísticas de ingestão
• Métricas de ingestão
• Estatísticas de ingestão
• Detecções de regras
• Conjuntos de regras com detecções
• Eventos do UDM
• Agregações de eventos do UDM

Você pode criar campos personalizados para serem usados apenas no bloco em que são criados.

Selecionar campos para a visualização do gráfico

Depois de selecionar "Explorar" para um bloco, os campos UDM predefinidos vão aparecer na guia Todos os campos na caixa de diálogo Explorar.

Depois de selecionar campos na guia Todos os campos, eles aparecem na guia Em uso e na seção Dados. As subseções a seguir descrevem os tipos de campos que podem ser escolhidos para criar uma visualização de gráfico.

Campos predefinidos

Cada Análise inclui um conjunto diferente de campos de UDM predefinidos. Os campos predefinidos disponíveis no bloco são específicos para o modelo de dados que você seleciona na caixa de diálogo Escolher uma análise detalhada.

Os campos predefinidos são agrupados nos seguintes tipos:

• Dimensões
• Medidas
• Campos somente para filtros

Os ícones ao lado de cada campo mostram mais informações e indicam as opções disponíveis, como Filtrar por campo, Dados dinâmicos, Agrupar, Binário ou Agrupar. Clique no ícone Informações para ver o texto de ajuda do campo. Esses ícones ficam visíveis quando você segura o ponteiro sobre um campo. Para saber mais, consulte Ações e informações específicas do campo.

Você pode usar campos predefinidos para criar dimensões e medições personalizadas criar cálculos de tabela e aplicar filtros ao bloco.

Uma análise detalhada pode incluir campos descontinuados que não têm mais suporte. Os campos descontinuados são identificados por um nome seguido por [D].

Alguns modelos de dados incluem campos somente para filtro predefinidos que só podem ser usados em um filtro. Os campos somente de filtro em um modelo de dados podem incluir um ou mais dos seguintes tipos de campo:

• Campos de UDM individuais
• Campos agrupados do UDM

Alguns modelos de dados do Google Analytics incluem medidas mais detalhadas para campos que armazenam um carimbo de data/hora (por exemplo, principal.artifact.first_seen_time e security_result.about.file.last_modification_time).

Essas medidas separam o carimbo de data/hora em incrementos mais granulares, como hora, dia, semana ou ano. O modelo também fornece uma medida mínima e máxima para cada incremento. Assim, você pode criar gráficos mais detalhados que agregam as contagens de eventos com base no tempo e nos incrementos de tempo.

Campos personalizados

Os campos personalizados são criados usando os campos predefinidos disponíveis no modelo de dados do bloco. Os campos personalizados só podem ser usados nesse bloco.

Você pode criar qualquer um dos seguintes tipos de campos personalizados:

• Dimensões personalizadas
• Medidas personalizadas
• Expressões de tabela personalizadas

Para acessar o menu de campos personalizados na caixa de diálogo Editar Bloco, clique em + Adicionar na seção Todos os campos > Campos personalizados. A imagem a seguir mostra a localização do menu.

Criar uma dimensão personalizada

As dimensões personalizadas são atributos exclusivos que ajudam a descrever os dados. Por exemplo, a concatenação do nome e sobrenome de um usuário pode ser uma dimensão personalizada.

Siga estas etapas para adicionar uma dimensão personalizada a um bloco:

1. Abra um painel para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Custom Fields da caixa de diálogo Edit Tile, clique em + Add > Custom Dimension. A caixa de diálogo Criar dimensão personalizada vai aparecer.
4. Na caixa de diálogo Criar dimensão personalizada, faça o seguinte:
   1. No campo Expressão, insira uma expressão do Looker que define o valor usando qualquer função e operador do Looker. O editor de expressões do Looker sugere nomes de campos e mostra ajuda de sintaxe para todas as funções que você usa. Confira alguns exemplos de expressões:
      • Concatena o nome do feed de IOC e o valor do IOC. Só é possível usar este exemplo na Análise de correspondências de IOC. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Retorna o primeiro valor que não está vazio. A ordem é nome do host e, em seguida, endereço IP. Se nenhuma dessas opções existir, exibe _. Esse exemplo só pode ser usado na Análise do gráfico de entidades. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Selecione um formato no menu Formatar.
   3. Especifique o nome da dimensão personalizada no campo Nome. Esse valor vai aparecer na guia Todos os campos e na tabela Dados.
   4. Selecione + Adicionar descrição para adicionar uma descrição no campo Descrição.
   5. Clique em Salvar.

A guia Todos os campos mostra o campo na seção Campos personalizados. Assim como em outros campos, você pode selecionar uma dimensão personalizada para adicionar ou remover do bloco.

Criar medidas personalizadas

As medidas são uma representação numérica de uma ou mais dimensões (ou atributos exclusivos dos dados), como contagem ou média. Com as medições, é possível calcular indicadores principais de desempenho (KPIs) e ajudar os usuários a analisar dados usando diferentes atributos agregados.

Com as medidas personalizadas, é possível definir um cálculo numérico específico para um campo. Dependendo do tipo de campo, apenas alguns tipos de medidas estão disponíveis.

Siga estas etapas para adicionar uma medida personalizada a um bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, clique em + Adicionar e selecione Medição personalizada. A caixa de diálogo Criar medida personalizada vai aparecer.

4. Na caixa de diálogo Criar medida personalizada, faça o seguinte:

   1. Selecione um campo no menu Campo a ser medido.
   2. Selecione um tipo de medida no menu Tipo de medida.
   3. Especifique um nome no campo Name. O nome aparece no seletor de campos e na tabela de dados.

   4. Na guia Filtros, faça o seguinte:

      1. Para adicionar uma condição de filtro, selecione um campo na Menu Nome do filtro. É possível adicionar ou remover condições de filtro usando os botões add_circle_outline e remove_circle_outline Filtrar valor, respectivamente.
      2. É possível selecionar a seta ao lado de Filtro personalizado para criar um expressão de filtro personalizado usando qualquer Função e operador do Looker que podem ser usados na filtros personalizados. O editor de expressões do Looker sugere nomes de campos e mostra ajuda de sintaxe para todas as funções usadas. Veja a seguir exemplos de expressões:
         • Mede registros de feeds de IOC para valores exclusivos. Você só pode usar esse exemplo na Análise IOC Matches. ${ioc_matches.feed_log_type} != ""
         • Mede os segundos do bucket de um dia de IOC: ${ioc_matches.day_bucket_seconds}

   5. Na guia Detalhes do campo, faça o seguinte:

      • Selecione um formato no menu Formato.
      • Se quiser, adicione uma descrição de até 255 caracteres no campo Descrição para fornecer a outros usuários detalhes adicionais sobre o campo personalizado.

   6. Clique em Salvar.

A guia Todos os campos exibe o campo na seção Campos personalizados. Assim como em outros campos, é possível selecionar o campo personalizado para adicionar ao bloco.

Criar um cálculo de tabela personalizado

Os cálculos de tabela permitem criar métricas ad hoc. Eles são comparáveis a fórmulas encontradas em ferramentas de planilhas, como o Planilhas Google.

As Operações de segurança do Google oferecem a opção de adicionar cálculos personalizados a um bloco. Esses cálculos de tabelas personalizadas são criados usando Expressões do Looker. Você só pode criar cálculos de tabela usando os campos em Explore.

Conclua as etapas a seguir para criar um cálculo de tabela e adicioná-lo a um bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, Clique em + Adicionar > Cálculo da tabela. A caixa de diálogo Criar cálculo da tabela é exibida.
4. Na caixa de diálogo Criar cálculo de tabela, faça o seguinte:
   1. Selecione um tipo de cálculo no menu Cálculo. As opções de uma Expressão personalizada são exibidas por padrão.
   2. Insira uma expressão do Looker no campo. para definir um cálculo. Veja a seguir exemplos de expressões de cálculos de tabela:
      • A expressão a seguir usa a função diff hours para mostrar a diferença entre dois carimbos de data/hora. Use este exemplo somente em Detecções de regras. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • A expressão a seguir conta os valores de IOC. Use este exemplo somente na Análise de correspondências de IOC. count(${ioc_matches.ioc_value})
   3. Selecione um formato no menu Formatar.
   4. Insira um nome de cálculo no campo Nome.
   5. Selecione + Adicionar descrição para adicionar uma descrição opcional e dar mais contexto aos outros usuários sobre o cálculo da tabela.
   6. Clique em Salvar.

A guia Todos os campos exibe o campo na seção Campos personalizados. Assim como acontece com outros campos, você pode selecionar o campo de cálculo personalizado para adicioná-lo ou removê-lo do bloco.

Selecionar o tipo de gráfico de visualização

As visualizações mostram os dados de forma visual para ajudar você a identificar anomalias e tendências. O painel do SIEM do Google Security Operations é baseado na tecnologia do Looker, incluindo as visualizações do Looker.

A seguir estão os tipos de visualização que você pode usar no Google Security Operations SIEM painéis:

• Opções do gráfico de colunas
• Opções do gráfico de barras
• Opções de gráficos de dispersão
• Opções do gráfico de linhas
• Opções do gráfico de área
• Opções do diagrama de caixa
• Opções do gráfico de cascata
• Opções do gráfico de pizza
• Opções de gráficos de roscas
• Opções do gráfico de funil
• Opções do gráfico de linha do tempo
• Opções de gráfico de valor único
• Opções de gráfico de registro único
• Opções do gráfico de tabela
• Opções de gráfico de tabela (legado)
• Opções do gráfico de nuvem de palavras
• Opções de gráficos do Google Maps
• Opções do gráfico de mapa
• Opções de gráfico do mapa estático (regiões)
• Opções do gráfico de mapa estático (pontos)

Usando o botão Executar na caixa de diálogo Editar bloco, você pode exibir uma visualização usando os campos selecionados e o tipo de visualização. Atualizar a visualização após o ajuste e modificando a configuração do bloco clicando em Run.

Selecionar campos para usar como filtros

Os filtros permitem restringir os dados exibidos na visualização para mostrar apenas itens de interesse. Você cria filtros usando campos no modelo de dados Explorar.

O dashboard do SIEM do Google Security Operations é baseado na tecnologia Looker, incluindo filtros do Looker. Você pode criar os seguintes tipos de filtro em um bloco:

• Filtros padrão criam usando campos predefinidos ou personalizados. Defina esses filtros usando o método Seção Filtros da caixa de diálogo Editar bloco.
• Filtros personalizados com expressões do Looker: especifique uma lógica de negócios detalhada, combine a lógica AND e OR ou use funções do Looker. Clique no botão Custom Expression na seção Filters da caixa de diálogo Edit Tile.

Alguns campos predefinidos estão disponíveis para uso em um filtro. Esses campos aparecem na seção Todos os campos somente quando o modelo de dados inclui campos somente filtro predefinidos.

Siga estas etapas para adicionar um filtro a um bloco:

1. Abra um painel para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Todos os campos, selecione os campos que você quer usar como filtros clicando em filter_list Filtrar por campo ao lado de cada nome de campo.

4. Na seção Filtros, é possível:

   • Defina as condições de filtro para cada campo listado na seção Filtros.
   • Clique em Expressão personalizada e adicione valores no campo Filtro personalizado.

5. Clique em Run para atualizar a visualização da visualização.

Exemplos que resolvem casos de uso específicos

As seções a seguir descrevem como criar visualizações que oferecem suporte a casos de uso específicos.

Criar um bloco que mostra tipos de IOC

Siga estas etapas para adicionar um bloco ao painel e monitorar os tipos de IOC:

1. Abra um painel para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione IOC Matches.
4. Insira um nome para o bloco.
5. Selecione as seguintes dimensões: Tipo de IOC e Data do carimbo de data/hora do evento > Data.
6. Selecione as seguintes Medidas: Contagem.
7. Na guia Em uso, mantenha o ponteiro sobre a Data do carimbo de data/hora do evento. campo e selecione filter_list Filtrar por campo. Isso adiciona o campo à seção Filtros.
8. Na seção Filtros, aplique as condições que você quer usar.
9. Na seção Visualização, selecione o ícone Colunas.

10. Na seção Dados, faça o seguinte:

    • Clique no cabeçalho Ioc Matches Count para classificar os campos em ordem crescente ou decrescente.
    • Defina o Limite de linhas como um valor, por exemplo, 50, para limitar as linhas que aparecem na visualização.

11. Depois de configurar o bloco, clique em Run para visualizar a visualização usando os dados do Google Security Operations. A visualização é mostrada com os tipos de IOC por correspondências de IOC com a data do carimbo de data/hora do evento.

    A imagem a seguir mostra um exemplo do gráfico criado usando essas etapas.

    

12. Clique em Salvar.

A página Painéis é exibida com o bloco recém-adicionado.

Criar um bloco com campos enumerados

O modelo de dados unificado do Google Security Operations SIEM inclui vários campos enumerados com valores armazenados como texto e números. Os valores associados a cada campo de tipo enumerado podem ser encontrados na lista de campos do UDM.

Em alguns Análises detalhadas, o valor de texto e o valor numérico do campo de tipo enumerado são armazenados em campos separados. Por exemplo, com o campo metadata.event_type, um dos valores de tipo enumerado é FILE_CREATION, e o número relacionado é 14001.

Em uma análise detalhada, os seguintes campos armazenam os valores de metadata.event_type:

• metadata.event_type armazena o valor numérico, 14001.
• metadata.event_type_enum_name armazena o valor de texto FILE_CREATION.

Ao adicionar um campo enumerado a um bloco, adicione o campo que armazena o valor de texto em vez de o número.

Use as instruções a seguir para adicionar um bloco com campos enumerados a um painel:

1. Abra um painel para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Insira um nome para o bloco.
5. Em Encontrar um campo, pesquise um campo de UDM, como metadata.event_type.
6. Em Dimensões, selecione metadata.event_type_enum_name e security_result.action_enum_name.
7. Em Medidas, selecione Contagem.
8. Na guia In Use, mantenha o ponteiro sobre o campo security_result.action_enum_name e selecione filter_listFiltrar por campo. Os filtros do campo selecionado são exibidos na seção Filtros.
9. Na seção Filtros, selecione é igual a e depois selecione BLOQUEAR como valores.
10. Na seção Visualização, selecione o ícone Tabela.

11. Na seção Dados, faça o seguinte:

    • Clique no cabeçalho Contagem de UDM para classificar os campos em ordem crescente ou decrescente.
    • Defina o Limite de linhas como um valor (por exemplo, 50) para limitar as linhas que aparecem na visualização.

12. Clique em Run para conferir uma prévia da visualização usando os dados das Operações de segurança do Google. A visualização é exibida, mostrando os valores de metadata.event_type por contagem. em que o nome security_result.action_enum é BLOCK.

    A imagem a seguir mostra um exemplo do gráfico criado seguindo essas etapas.

    

13. Clique em Salvar.

A página Painéis é mostrada com o bloco recém-adicionado.

Usar uma tabela dinâmica em uma tabela de dados

Você pode usar uma Tabela dinâmica para exibir contagens de eventos em várias dimensões.

O bloco a seguir mostra as contagens de eventos em valores nos campos metadata.event_type_enum_name e security_result_action_enum_name. Neste exemplo, uma tabela dinâmica é aplicada ao campo security_result_action_enum_name.

Siga as etapas abaixo para criar esta tabela de dados com um resumo:

1. Abra um painel para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Insira um nome para o bloco.
5. Selecione os campos Dimensão metadata.event_type_enum_name e security_result_action_enum_name.
6. Selecione o campo Medir Count.
7. Na seção Filtro, crie os seguintes filtros:
   • UDM metadata_event_timestamp nas últimas duas horas.
   • UDM security_result.action_enum_name não é nulo.
8. Na guia Em uso, verifique se os campos a seguir são exibidos. Se houver estiverem faltando, repita as etapas anteriores para configurar o bloco.
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Na seção Dados, clique no ícone settings. no título da coluna security_result.action_enum_name e selecione Pivot.
10. Uma nova linha vai aparecer na grade em Dados.
11. Na seção Visualização, selecione o ícone Tabela.
12. Clique em Executar para conferir uma prévia da visualização.

A imagem a seguir mostra essas opções de configuração na caixa de diálogo Edit Tile.

Opções de configuração para tabelas dinâmicas em uma tabela de dados

Usar um pivot com campos de data para criar um gráfico de período

Você pode usar uma tabela dinâmica com campos de data para criar um gráfico de tempo. O bloco a seguir mostra a contagem de eventos por hora para valores nos campos security_result_action_enum_name.

Neste exemplo, uma tabela dinâmica é aplicada ao campo security_result_action_enum_name. O filtro limita o intervalo de datas e exclui os dados em que security_result_action_enum_name o valor é null. Ele usa o campo de data metadata.event_timestamp Hour predefinido. que particiona os dados por hora.

Para usar uma tabela dinâmica com campos de dados, faça o seguinte:

1. Abra um painel para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Digite o nome de um bloco.
5. Selecione os campos Dimensão: metadata.event_timestamp Hour e security_result_action_enum_name.
6. Selecione o campo Medir: Count.
7. Na seção Filtro, crie os seguintes filtros:
   • UDM metadata_event_timestamp está no intervalo e selecione uma data e um horário de início e de término.
   • UDM security_result.action_enum_name não é nulo.
8. Na guia Em uso, verifique se os seguintes campos estão exibidos. Se houver estiverem faltando, repita as etapas anteriores para configurar o bloco.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Na seção Dados, clique no ícone settings. no título da coluna security_result.action_enum_name e selecione Pivot. Uma nova linha aparece na grade de dados.
10. Na seção Visualização, selecione o ícone Tabela.
11. Clique em Executar para conferir uma prévia da visualização.

A imagem a seguir mostra essas opções de configuração na caixa de diálogo Edit Tile.

Opções de configuração de tabela dinâmica em um campo de data

Criar um gráfico com medidas detalhadas de carimbo de data/hora

É possível criar um gráfico com as contagens de eventos de cada tipo de registro, além do carimbo de data/hora do evento mais antigo (min) e do mais recente (max). Este gráfico usa metadata.product_name para identificar o tipo de registro.

Siga estas etapas para criar um gráfico com carimbos de data/hora min ou max:

1. Abrir um painel para editar ou crie um novo painel.

2. Clique em Adicionar > Visualização.

3. Na caixa de diálogo Choose an Explore, selecione UDM Events.

4. Digite o nome de um bloco.

5. Selecione o campo Dimensão: metadata.product_name.

6. Selecione os campos Medição: Count, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date.

7. Clique em Run para conferir uma prévia da visualização. A visualização é mostrada mostrando os valores metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date no formato de data.

8. Clique em Salvar. A página Painéis é mostrada com o gráfico recém-adicionado. O gráfico inclui as colunas metadata.product_name, UDM, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date com valores.