Adicionar uma visualização de gráfico a um painel

Para adicionar um gráfico ou outra visualização a um painel, use um bloco de visualização. O bloco de visualização mostra dados da visualização do LookML associada, chamada de Explorar, que você seleciona ao criar o bloco. Neste documento, descrevemos o seguinte:

• Como criar gráficos e outras visualizações usando o bloco de visualização.
• Como criar visualizações de dados que atendam a casos de uso específicos.

Visão geral do processo

Em um nível alto, você realiza as seguintes ações para criar uma visualização em um painel:

1. Adicione um bloco de visualização ao painel.
2. Selecione o recurso "Explorar". Uma Exploração é um ponto de partida para o novo bloco e representa um modelo de dados específico.
3. Selecione os campos de dados para a visualização. Os campos predefinidos são agrupados em um dos seguintes tipos:
   • Dimensões: atributos dos dados que descrevem os dados. Exemplo: a metragem quadrada e o material de construção de um museu são dimensões diferentes em um conjunto de dados.
   • Medidas: representação numérica de uma ou mais dimensões ou atributo único dos dados, como contagem ou média.
   • Campos somente para filtros: campos predefinidos que só podem ser usados em um filtro.
4. Opcionalmente, crie e adicione campos personalizados ao bloco que ofereça suporte a um caso de uso específico.
5. Configure o bloco selecionando o seguinte:
   • Visualização: mostra os campos selecionados de forma visual. Por exemplo, um gráfico de linhas pode mostrar tendências ao longo do tempo.
   • Filtros: restringem a visualização para mostrar apenas os dados de interesse. Qualquer campo em uma Análise detalhada pode ser usado para criar um filtro.
6. Execute a visualização para conferir os resultados.
7. Salve o bloco de visualização.

As seções a seguir deste documento fornecem informações mais detalhadas sobre a configuração de cada componente em um Bloco de visualização.

Exemplo: criar uma tabela de dados

As etapas a seguir fornecem mais detalhes sobre como criar uma tabela de dados usando um bloco de visualização e mostram as opções de configuração na caixa de diálogo Editar bloco.

1. Em Painéis pessoais ou Painéis compartilhados, selecione um painel e clique em more_vert Ações do painel > Editar painel.
2. Clique em Adicionar > Visualização.
3. Selecione um modelo de dados Análise. A caixa de diálogo Edit Tile aparece.
4. Insira um nome exclusivo para o bloco.
5. Em Todos os campos, selecione os campos predefinidos: Dimensões e Medições. Normalmente, é preciso escolher pelo menos dois campos para criar uma visualização. Os campos selecionados aparecem na seção Dados.
6. Se quiser, crie e adicione os campos personalizados necessários para a visualização. Elas vão aparecer na seção Dados.
7. Na seção Visualização, selecione Tabela como o tipo de visualização. A visualização mostra os campos de dados selecionados na tabela.
8. Na seção Filtros, defina filtros que restrinjam a visualização para mostrar apenas os dados de interesse. Qualquer campo em uma Análise detalhada pode ser usado para criar um filtro.
9. Na seção Dados, faça o seguinte:
   • Clique em Cabeçalho de campo "Explorar" para classificar os campos em ordem crescente ou decrescente.
   • Defina Limite de linhas para limitar o número de linhas que aparecem na visualização.
10. Clique em Executar para conferir uma prévia da visualização usando os dados do SIEM das Operações de segurança do Google.
11. Clique em Salvar. O Painel é exibido com o bloco recém-adicionado.

A imagem a seguir identifica o local na caixa de diálogo Edit Tile em que você realiza essas etapas.

Caixa de diálogo "Editar Bloco" com configuração

Escolher um modelo de dados do recurso "Análise"

O SIEM das Operações de Segurança do Google oferece vários modelos de dados que podem ser usados para criar um painel. Cada modelo de dados é uma Análise do Looker que define um subconjunto de campos do UDM.

Uma análise detalhada é um ponto de partida para criar um bloco de visualização. Ele foi projetado para analisar um modelo de dados específico. Você seleciona uma Análise de modelo de dados para cada bloco de visualização.

O SIEM do Google Security Operations oferece as seguintes análises de modelos de dados:

• Gráfico de entidades
• Correspondências de IOC
• Métrica de ingestão com estatísticas de ingestão
• Métricas de ingestão
• Estatísticas de ingestão
• Detecções de regras
• Conjuntos de regras com detecções
• Eventos do UDM
• Agregações de eventos do UDM

Você pode criar campos personalizados para serem usados apenas no bloco em que são criados.

Selecionar campos para a visualização do gráfico

Depois de selecionar a opção "Explorar" para um bloco, os campos predefinidos do UDM vão aparecer na guia Todos os campos na caixa de diálogo Explorar.

Depois de selecionar campos na guia Todos os campos, eles vão aparecer na guia Em uso e na seção Dados. As subseções a seguir descrevem os tipos de campos que podem ser usados para criar uma visualização de gráfico.

Campos predefinidos

Cada análise inclui um conjunto diferente de campos predefinidos da UDM. Os campos predefinidos disponíveis no bloco são específicos para o modelo de dados selecionado na caixa de diálogo Escolher uma análise detalhada.

Os campos predefinidos são agrupados nos seguintes tipos:

• Dimensões
• Medidas
• Campos somente para filtros

Os ícones ao lado de cada campo mostram mais informações e indicam as opções disponíveis, como Filtrar por campo, Dados dinâmicos, Agrupar, Binário ou Agrupar. Clique no ícone Informações para conferir o texto de ajuda do campo. Esses ícones ficam visíveis quando você mantém o ponteiro sobre um campo. Para saber mais, consulte Ações e informações específicas do campo.

É possível usar campos predefinidos para criar dimensões e medidas personalizadas, além de cálculos de tabelas e aplicar filtros ao Bloco.

Uma análise detalhada pode incluir campos descontinuados que não têm mais suporte. Os campos descontinuados são identificados por um nome de campo seguido de [D].

Alguns modelos de dados incluem campos somente para filtro predefinidos que só podem ser usados em um filtro. Os campos somente para filtro em um modelo de dados podem incluir um ou mais dos seguintes tipos de campo:

• Campos individuais do UDM
• Campos agrupados do UDM

Alguns modelos de dados do Google Analytics incluem medidas mais detalhadas para campos que armazenam um carimbo de data/hora (por exemplo, principal.artifact.first_seen_time e security_result.about.file.last_modification_time).

Essas medidas separam o carimbo de data/hora em incrementos mais granulares, como hora, dia, semana ou ano. O modelo também fornece uma medida mínima e máxima para cada incremento. Assim, você pode criar gráficos mais detalhados que agregam as contagens de eventos com base no tempo e nos incrementos de tempo.

Campos personalizados

Os campos personalizados são criados usando os campos predefinidos disponíveis no modelo de dados do bloco. Os campos personalizados só podem ser usados nesse bloco.

Você pode criar qualquer um dos seguintes tipos de campos personalizados:

• Dimensões personalizadas
• Medidas personalizadas
• Expressões de tabela personalizadas

Para acessar o menu de campos personalizados na caixa de diálogo Editar Bloco, clique em + Adicionar na seção Todos os campos > Campos personalizados. A imagem a seguir mostra o local do menu.

Criar uma dimensão personalizada

As dimensões personalizadas são atributos exclusivos que ajudam a descrever os dados. Por exemplo, a concatenação do nome e sobrenome de um usuário pode ser uma dimensão personalizada.

Siga as etapas abaixo para adicionar uma dimensão personalizada a um bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Custom Fields da caixa de diálogo Edit Tile, clique em + Add > Custom Dimension. A caixa de diálogo Criar dimensão personalizada vai aparecer.
4. Na caixa de diálogo Criar dimensão personalizada, faça o seguinte:
   1. No campo Expressão, insira uma expressão do Looker que defina o valor usando qualquer função e operador do Looker. O editor de expressões do Looker sugere nomes de campos e mostra ajuda de sintaxe para todas as funções usadas. Confira abaixo alguns exemplos de expressões:
      • Concatena o nome e o valor do feed de IOC. Você só pode usar esse exemplo na Análise IOC Matches. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Retorna o primeiro valor que não está vazio. A ordem é nome do host e endereço IP. Se nenhuma delas existir, _ será exibido. Você só pode usar esse exemplo na Análise do gráfico de entidades. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Selecione um formato no menu Formato.
   3. Especifique o nome da dimensão personalizada no campo Name. Esse valor vai aparecer na guia Todos os campos e na tabela Dados.
   4. Selecione + Adicionar descrição para adicionar uma descrição no campo Descrição.
   5. Clique em Salvar.

A guia Todos os campos mostra o campo na seção Campos personalizados. Assim como em outros campos, você pode selecionar uma dimensão personalizada para adicionar ou remover do bloco.

Criar medidas personalizadas

As medidas são uma representação numérica de uma ou mais dimensões (ou atributos exclusivos dos dados), como uma contagem ou média. Com as medições, é possível calcular indicadores principais de desempenho (KPIs) e ajudar os usuários a analisar dados usando diferentes atributos agregados.

Com as medidas personalizadas, você pode definir um cálculo numérico específico para um campo. Dependendo do tipo de campo, apenas alguns tipos de medidas estão disponíveis.

Siga estas etapas para adicionar uma métrica personalizada a um bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, clique em + Adicionar e selecione Medida personalizada. A caixa de diálogo Criar medida personalizada vai aparecer.

4. Na caixa de diálogo Criar medida personalizada, faça o seguinte:

   1. Selecione um campo no menu Campo a ser medido.
   2. Selecione um tipo de medida no menu Tipo de medida.
   3. Especifique um nome no campo Name. O nome aparece no seletor de campos e na tabela de dados.

   4. Na guia Filtros, faça o seguinte:

      1. Para adicionar uma condição de filtro, selecione um campo no menu Nome do filtro. É possível adicionar ou remover condições de filtro usando os botões add_circle_outline e remove_circle_outline Filtrar valor, respectivamente.
      2. Selecione a seta ao lado de Filtro personalizado para criar uma expressão de filtro personalizado usando qualquer função e operador do Looker que possa ser usado em filtros personalizados. O editor de expressões do Looker sugere nomes de campos e mostra ajuda de sintaxe para todas as funções usadas. Confira alguns exemplos de expressões:
         • Mede os registros de feed de IOC para valores exclusivos. Você só pode usar esse exemplo na Análise IOC Matches. ${ioc_matches.feed_log_type} != ""
         • Mede os segundos do bucket de um dia de IOC: ${ioc_matches.day_bucket_seconds}

   5. Na guia Detalhes do campo, faça o seguinte:

      • Selecione um formato no menu Formato.
      • Opcionalmente, adicione uma descrição de até 255 caracteres no campo Descrição para fornecer aos outros usuários mais detalhes sobre o campo personalizado.

   6. Clique em Salvar.

A guia Todos os campos mostra o campo na seção Campos personalizados. Assim como em outros campos, você pode selecionar o campo personalizado a ser adicionado ao bloco.

Criar um cálculo de tabela personalizado

Os cálculos de tabela permitem criar métricas ad hoc. Eles são semelhantes a fórmulas encontradas em ferramentas de planilha, como as Planilhas Google.

O Google Security Operations oferece a opção de adicionar cálculos personalizados a um Bloco. Esses cálculos de tabelas personalizadas são criados usando expressões do Looker. Só é possível criar cálculos de tabela usando campos na seção Explorar.

Siga estas etapas para criar um cálculo de tabela e adicioná-lo a um Bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, clique em + Adicionar > Cálculo de tabela. A caixa de diálogo Criar cálculo de tabela é exibida.
4. Na caixa de diálogo Criar cálculo de tabela, faça o seguinte:
   1. Selecione um tipo de cálculo no menu Cálculo. As opções de uma expressão personalizada aparecem por padrão.
   2. Insira uma expressão do Looker no campo para definir um cálculo. Confira a seguir exemplos de expressões de cálculos de tabelas:
      • A expressão a seguir usa a função diff hours para mostrar a diferença entre dois carimbos de data/hora. Você só pode usar esse exemplo na Análise detalhada Rule Detections. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • A expressão a seguir conta os valores de IOC. Você só pode usar esse exemplo na análise detalhada IOC Matches. count(${ioc_matches.ioc_value})
   3. Selecione um formato no menu Formato.
   4. Insira um nome de cálculo no campo Nome.
   5. Selecione + Adicionar descrição para adicionar uma descrição opcional e dar mais contexto aos outros usuários sobre o cálculo da tabela.
   6. Clique em Salvar.

A guia Todos os campos mostra o campo na seção Campos personalizados. Assim como em outros campos, você pode selecionar o campo de cálculo personalizado para adicionar ou remover do bloco.

Selecionar o tipo de gráfico de visualização

As visualizações mostram os dados de forma visual para ajudar você a identificar anomalias e tendências. O painel do SIEM do Google Security Operations é baseado na tecnologia do Looker, incluindo as visualizações do Looker.

Confira a seguir os tipos de visualização que podem ser usados nos painéis do SIEM do Google Security Operations:

• Opções do gráfico de colunas
• Opções de gráfico de barras
• Opções de gráficos de dispersão
• Opções de gráfico de linhas
• Opções do gráfico de área
• Opções do diagrama de caixa
• Opções do gráfico de cascata
• Opções do gráfico de pizza
• Opções de gráficos de roscas
• Opções do gráfico de funil
• Opções do gráfico de linha do tempo
• Opções de gráfico de valor único
• Opções de gráfico de registro único
• Opções de gráficos de tabela
• Opções de gráfico de tabela (legado)
• Opções de gráfico de nuvem de palavras
• Opções de gráfico do Google Maps
• Opções de gráficos de mapa
• Opções de gráfico do mapa estático (regiões)
• Opções do gráfico "Mapa estático (pontos)"

Use o botão Run na caixa de diálogo Edit Tile para mostrar uma prévia usando os campos selecionados e o tipo de visualização. Atualize a visualização depois de ajustar e modificar a configuração do bloco clicando em Run.

Selecionar campos para usar como filtros

Os filtros permitem restringir os dados mostrados na visualização para exibir apenas os itens de interesse. Você cria filtros usando campos no modelo de dados do recurso Explorar.

O painel do SIEM do Google Security Operations é baseado na tecnologia Looker, incluindo os filtros do Looker. É possível criar os seguintes tipos de filtros em um Bloco:

• Os filtros padrão criam filtros usando campos predefinidos ou personalizados. Defina esses filtros usando a seção Filtros da caixa de diálogo Editar Bloco.
• Filtros personalizados com expressões do Looker: especifique uma lógica de negócios detalhada, combine a lógica AND e OR ou use funções do Looker. Clique no botão Custom Expression na seção Filters da caixa de diálogo Edit Tile.

Alguns campos predefinidos estão disponíveis para uso em um filtro. Esses campos aparecem na seção Todos os campos somente quando o modelo de dados inclui campos somente filtro predefinidos.

Siga estas etapas para adicionar um filtro a um bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Todos os campos, selecione os campos que você quer usar como filtros clicando em filter_list Filtrar por campo ao lado de cada nome de campo.

4. Na seção Filtros, é possível:

   • Defina as condições de filtro para cada campo listado na seção Filtros.
   • Clique em Expressão personalizada e adicione valores no campo Filtro personalizado.

5. Clique em Run para atualizar a visualização da visualização.

Exemplos que resolvem casos de uso específicos

As seções a seguir descrevem como criar visualizações que oferecem suporte a casos de uso específicos.

Criar um bloco que mostra tipos de IOC

Siga estas etapas para adicionar um bloco ao painel e monitorar os tipos de IOC:

1. Abra um painel atual para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione IOC Matches.
4. Insira um nome de bloco.
5. Selecione as seguintes dimensões: Tipo de IOC e Data do carimbo de data/hora do evento > Data.
6. Selecione as seguintes Métricas: Contagem.
7. Na guia Em uso, mantenha o cursor sobre o campo Data e hora do evento e selecione filter_list Filtrar por campo. Isso adiciona o campo à seção Filtros.
8. Na seção Filtros, aplique as condições que você quer usar.
9. Na seção Visualização, selecione o ícone Coluna.

10. Na seção Dados, faça o seguinte:

    • Clique no cabeçalho Ioc Matches Count para classificar os campos em ordem crescente ou decrescente.
    • Defina o Limite de linhas como um valor, como 50, para limitar as linhas que aparecem na visualização.

11. Depois de configurar o bloco, clique em Run para visualizar a visualização usando os dados do Google Security Operations. A visualização é mostrada com os tipos de IOC por correspondências de IOC com a data do carimbo de data/hora do evento.

    A imagem a seguir mostra um exemplo do gráfico criado usando essas etapas.

    

12. Clique em Salvar.

A página Painéis é mostrada com o bloco recém-adicionado.

Criar um bloco com campos enumerados

O modelo de dados unificado do Google Security Operations SIEM inclui vários campos enumerados com valores armazenados como texto e números. Os valores associados a cada campo de tipo enumerado podem ser encontrados na lista de campos de UDM.

Em alguns Análises detalhadas, o valor de texto e o valor numérico do campo de tipo enumerado são armazenados em campos separados. Por exemplo, com o campo metadata.event_type, um dos valores de tipo enumerado é FILE_CREATION, e o número relacionado é 14001.

Em uma análise detalhada, os seguintes campos armazenam os valores de metadata.event_type:

• metadata.event_type armazena o valor numérico 14001.
• metadata.event_type_enum_name armazena o valor de texto FILE_CREATION.

Ao adicionar um campo enumerado a um Bloco, adicione o campo que armazena o valor de texto em vez do número.

Use as instruções a seguir para adicionar um bloco com campos enumerados a um painel:

1. Abra um painel atual para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Insira um nome para o bloco.
5. Em Encontrar um campo, procure um campo de UDM, como metadata.event_type.
6. Em Dimensões, selecione metadata.event_type_enum_name e security_result.action_enum_name.
7. Em Métricas, selecione Contagem.
8. Na guia In Use, mantenha o ponteiro sobre o campo security_result.action_enum_name e selecione filter_listFiltrar por campo. Isso mostra os filtros do campo selecionado na seção Filtros.
9. Na seção Filtros, selecione é igual a e BLOCO como valores.
10. Na seção Visualização, selecione o ícone Tabela.

11. Na seção Dados, faça o seguinte:

    • Clique no cabeçalho Contagem de UDM para organizar os campos em ordem crescente ou decrescente.
    • Defina o Limite de linhas como um valor (por exemplo, 50) para limitar as linhas que aparecem na visualização.

12. Clique em Run para conferir uma prévia da visualização usando os dados das Operações de segurança do Google. A visualização é mostrada mostrando os valores de metadata.event_type por contagem, em que o nome security_result.action_enum é BLOCK.

    A imagem a seguir mostra um exemplo do gráfico criado usando essas etapas.

    

13. Clique em Salvar.

A página Painéis é mostrada com o bloco recém-adicionado.

Usar uma tabela dinâmica em uma tabela de dados

Você pode usar um Pivot para mostrar a contagem de eventos em várias dimensões.

O bloco a seguir mostra as contagens de eventos em valores nos campos metadata.event_type_enum_name e security_result_action_enum_name. Neste exemplo, um pivot é aplicado ao campo security_result_action_enum_name.

Siga as etapas abaixo para criar esta tabela de dados com um resumo:

1. Abra um painel atual para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Insira um nome de bloco.
5. Selecione os campos Dimensão metadata.event_type_enum_name e security_result_action_enum_name.
6. Selecione o campo Métrica Count.
7. Na seção Filtro, crie os seguintes filtros:
   • UDM metadata_event_timestamp está nas últimas 2 horas.
   • UDM security_result.action_enum_name não é nulo.
8. Na guia Em uso, verifique se os seguintes campos estão exibidos. Se algum estiver ausente, repita as etapas anteriores para configurar o bloco.
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Na seção Dados, clique no ícone settings no cabeçalho da coluna security_result.action_enum_name e selecione Pivotar.
10. Uma nova linha vai aparecer na grade em Dados.
11. Na seção Visualização, selecione o ícone Tabela.
12. Clique em Run para mostrar uma prévia da visualização.

A imagem a seguir mostra essas opções de configuração na caixa de diálogo Edit Tile.

Opções de configuração para tabelas dinâmicas em uma tabela de dados

Usar um pivot com campos de data para criar um gráfico de período

Você pode usar um pivot com campos de data para criar um gráfico de período. O bloco a seguir mostra a contagem de eventos por hora para valores nos campos security_result_action_enum_name.

Neste exemplo, um pivot é aplicado ao campo security_result_action_enum_name. O filtro limita o intervalo de datas e filtra os dados em que o valor security_result_action_enum_name é null. Ele usa o campo de data metadata.event_timestamp Hour predefinido, que particiona os dados por hora.

Para usar um pivot com campos de dados, faça o seguinte:

1. Abra um painel atual para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Insira um nome para o bloco.
5. Selecione os campos Dimensão: metadata.event_timestamp Hour e security_result_action_enum_name.
6. Selecione o campo Métrica: Count.
7. Na seção Filtro, crie os seguintes filtros:
   • UDM metadata_event_timestamp está no intervalo e selecione uma data e hora de início e término.
   • UDM security_result.action_enum_name não é nulo.
8. Na guia Em uso, verifique se os seguintes campos estão exibidos. Se algum estiver ausente, repita as etapas anteriores para configurar o bloco.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Na seção Dados, clique no ícone settings no cabeçalho da coluna security_result.action_enum_name e selecione Pivotar. Uma nova linha aparece na grade de dados.
10. Na seção Visualização, selecione o ícone Tabela.
11. Clique em Run para mostrar uma prévia da visualização.

A imagem a seguir mostra essas opções de configuração na caixa de diálogo Edit Tile.

Opções de configuração para pivot em um campo de data

Criar um gráfico com medidas detalhadas de carimbo de data/hora

É possível criar um gráfico com as contagens de eventos para cada tipo de registro, além do carimbo de data/hora do evento mais antigo (min) e mais recente (max). Este gráfico usa o campo metadata.product_name para identificar o tipo de registro.

Siga estas etapas para criar um gráfico com carimbos de data/hora min ou max:

1. Abra um painel atual para editar ou crie um novo painel.

2. Clique em Adicionar > Visualização.

3. Na caixa de diálogo Choose an Explore, selecione UDM Events.

4. Insira um nome para o bloco.

5. Selecione o campo Dimensão: metadata.product_name.

6. Selecione os campos Medição: Count, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date.

7. Clique em Run para conferir uma prévia da visualização. A visualização é mostrada mostrando os valores metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date no formato de data.

8. Clique em Salvar. A página Painéis é mostrada com o gráfico recém-adicionado. O gráfico inclui as colunas metadata.product_name, UDM, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date com valores.