Ajouter une visualisation de graphique à un tableau de bord

Pour ajouter un graphique ou une autre visualisation à un tableau de bord, utilisez une vignette de visualisation. La carte de visualisation affiche les données de la vue LookML associée, appelée Exploration, que vous sélectionnez lorsque vous créez la carte. Ce document décrit les éléments suivants:

• Comment créer des graphiques et d'autres visualisations à l'aide de la vignette de visualisation
• Créer des visualisations de données répondant à des cas d'utilisation spécifiques

Présentation du processus

De manière générale, vous effectuez les actions suivantes pour créer une visualisation dans un tableau de bord:

1. Ajoutez une vignette de visualisation au tableau de bord.
2. Sélectionnez l'exploration. Une exploration est le point de départ de la nouvelle carte et représente un modèle de données spécifique.
3. Sélectionnez des champs de données pour la visualisation. Les champs prédéfinis sont regroupés dans l'un les types suivants:
   • Dimensions: attributs des données décrivant les données. Exemple: la superficie en pieds carrés et les matériaux de construction d'un musée sont des dimensions différentes dans l'ensemble de données d'un musée.
   • Mesures : représentation numérique d'une ou de plusieurs dimensions, ou d'un attribut unique des données, comme le nombre ou la moyenne.
   • Champs de filtre uniquement: champs prédéfinis qui ne peuvent être utilisés que dans un filtre.
4. Vous pouvez également créer et ajouter des champs personnalisés à la carte pour prendre en charge un cas d'utilisation spécifique.
5. Configurez la vignette en sélectionnant les options suivantes:
   • Visualisation: affiche visuellement les champs que vous avez sélectionnés. Par exemple, un graphique en courbes peut montrer les tendances au fil du temps.
   • Filtres: limitez la visualisation aux données qui vous intéressent. Vous pouvez utiliser n'importe quel champ d'une exploration pour créer un filtre.
6. Exécutez la visualisation pour prévisualiser les résultats.
7. Enregistrez la vignette de visualisation.

Les sections suivantes de ce document fournissent des informations plus détaillées sur la configuration de chaque composant d'une carte de visualisation.

Exemple: Créer une table de données

Les étapes suivantes expliquent plus en détail comment créer un tableau de données à l'aide d'une carte de visualisation et affichent les options de configuration dans la boîte de dialogue Modifier la carte.

1. Dans Tableaux de bord personnels ou Tableaux de bord partagés, sélectionnez un tableau de bord, puis Cliquez ensuite sur more_vert Actions du tableau de bord > Modifier le tableau de bord.
2. Cliquez sur Ajouter > Visualisation.
3. Sélectionnez un modèle de données Exploration. La boîte de dialogue Modifier la carte s'affiche.
4. Saisissez un nom de carte unique.
5. Dans Tous les champs, sélectionnez les champs prédéfinis: Dimensions et Mesures. Vous devez généralement choisir au moins deux champs pour créer une visualisation. Les champs que vous sélectionnez s'affichent dans la section Données.
6. (Facultatif) Créez et ajoutez les champs personnalisés nécessaires à la visualisation. Elles apparaîtront dans la section Données.
7. Dans la section Visualisation, sélectionnez Table comme type de visualisation. La visualisation affiche les champs de données sélectionnés dans le tableau.
8. Dans la section Filtres, définissez des filtres qui limitent la visualisation pour n'afficher que les données qui vous intéressent. N'importe quel champ d'une exploration peut être utilisé pour créer un filtre.
9. Dans la section Données, procédez comme suit :
   • Cliquez sur Explorer l'en-tête de champ pour trier les champs par ordre croissant ou décroissant.
   • Définissez Nombre maximal de lignes pour limiter le nombre de lignes qui s'affichent dans la visualisation.
10. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation à l'aide des données SIEM de Google Security Operations.
11. Cliquez sur Enregistrer. Le tableau de bord s'affiche avec la carte nouvellement ajoutée.

L'image suivante indique l'emplacement dans la boîte de dialogue Edit Tile (Modifier la carte) où vous devez effectuer ces étapes.

Boîte de dialogue "Modifier la carte" avec la configuration

Choisir un modèle de données d'exploration

Google Security Operations SIEM fournit plusieurs modèles de données que vous pouvez utiliser pour créer un tableau de bord. Chaque modèle de données est une exploration Looker qui définit un sous-ensemble de champs UDM.

Une exploration est un point de départ lorsque vous créez une carte de visualisation. Il est conçu pour explorer un modèle de données particulier. Vous sélectionnez une exploration de modèle de données pour chaque vignette de visualisation.

Google Security Operations SIEM fournit les explorations de modèles de données suivantes:

• Graphique des entités
• Correspondances IoC
• Métrique d'ingestion avec statistiques d'ingestion
• Métriques d'ingestion
• Statistiques sur l'ingestion
• Détections de règles
• Ensembles de règles avec détections
• Événements UDM
• Agrégations des événements UDM

Vous pouvez éventuellement créer des champs personnalisés à utiliser uniquement avec la carte dans laquelle ils sont créés.

Sélectionner des champs pour la visualisation du graphique

Une fois que vous avez sélectionné l'exploration d'une carte, les champs UDM prédéfinis apparaissent sous l'onglet Tous les champs de la boîte de dialogue Explorer.

Une fois que vous avez sélectionné des champs dans l'onglet Tous les champs, ils apparaissent à la fois dans les Onglet Utilisée et section Données. Les sous-sections suivantes décrivent les types de champs que vous pouvez choisir pour créer une visualisation graphique.

Champs prédéfinis

Chaque exploration inclut un ensemble différent de champs UDM prédéfinis. Les champs prédéfinis disponibles dans la carte sont spécifiques au modèle de données que vous sélectionnez dans la boîte de dialogue Choisir une exploration.

Les champs prédéfinis sont regroupés selon les types suivants:

• Dimensions
• Mesures
• Champs de filtre uniquement

Les icônes à côté de chaque champ fournissent plus d'informations et indiquent les options disponibles, telles que Filtrer par champ, Croiser des données, Agréger, Biner ou Grouper. Cliquez sur l'icône Infos pour afficher le texte d'aide du champ. Ces icônes sont visibles lorsque vous maintenez le pointeur sur un champ. Pour en savoir plus, consultez Informations et actions spécifiques aux champs.

Vous pouvez utiliser des champs prédéfinis pour créer des dimensions personnalisées, des mesures personnalisées, des calculs de table et appliquer des filtres à la carte.

Une exploration peut inclure des champs obsolètes qui ne sont plus pris en charge. Les champs obsolètes sont identifiés par un nom de champ suivi de [D].

Certains modèles de données incluent des champs de filtre uniquement prédéfinis qui ne peuvent être utilisés que dans un filtre. Les champs de filtre uniquement d'un modèle de données peuvent inclure un ou plusieurs des types de champs suivants :

• Champs UDM individuels
• Champs UDM groupés

Certains modèles de données Explore, tels que les événements UTM, incluent des mesures plus précises pour les champs qui stockent un code temporel (par exemple, principal.artifact.first_seen_time et security_result.about.file.last_modification_time).

Ces mesures séparent le code temporel en incréments plus précis, tels que l'heure, le jour, la semaine ou l'année. Le modèle fournit également une mesure minimale et maximale pour chaque incrément. Cela vous permet de créer des graphiques plus détaillés qui agrègent le nombre d'événements en fonction d'incréments de temps et d'heure.

Champs personnalisés

Les champs personnalisés sont des champs que vous créez à l'aide des champs prédéfinis disponibles dans le modèle de données de la carte. Les champs personnalisés ne peuvent être utilisés que dans cette vignette.

Vous pouvez créer les types de champs personnalisés suivants:

• Dimensions personnalisées
• Mesures personnalisées
• Expressions de tableau personnalisées

Pour accéder au menu des champs personnalisés dans la boîte de dialogue Edit Tile (Modifier la vignette), cliquez sur Cliquez sur + Ajouter sous Tous les champs > Champs personnalisés. L'image suivante montre l'emplacement du menu.

Créer une dimension personnalisée

Les dimensions personnalisées sont des attributs uniques qui vous aident à décrire les données. Par exemple, la concaténation du prénom et du nom d'un utilisateur peut être une dimension personnalisée.

Pour ajouter des dimensions personnalisées à une carte, procédez comme suit:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la carte, cliquez sur + Ajouter > Dimension personnalisée. La boîte de dialogue Créer une dimension personnalisée s'affiche.
4. Dans la boîte de dialogue Créer une dimension personnalisée, procédez comme suit :
   1. Dans le champ Expression, saisissez une expression Looker qui définit la valeur à l'aide de une fonction et un opérateur Looker. L'éditeur d'expressions Looker suggère des noms de champs et affiche une aide sur la syntaxe pour toutes les fonctions que vous utilisez. Voici des exemples d'expressions :
      • Concaténe le nom et la valeur du flux IOC. Vous ne pouvez utiliser cet exemple que dans l'exploration Correspondances RIO. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Renvoie la première valeur non vide. L'ordre est le nom d'hôte, puis l'adresse IP. Si aucune de ces options n'existe, affiche _. Vous ne pouvez utiliser cet exemple que dans l'exploration du graphique des entités. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Sélectionnez un format dans le menu Format.
   3. Indiquez le nom de la dimension personnalisée dans le champ Nom. Cette valeur apparaît dans l'onglet Tous les champs et dans le tableau Données.
   4. Sélectionnez + Ajouter une description pour ajouter une description dans le champ Description.
   5. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner une dimension personnalisée pour l'ajouter à la vignette ou la supprimer.

Créer des mesures personnalisées

Les mesures sont une représentation numérique d'une ou de plusieurs dimensions (ou attributs uniques des données), comme un nombre ou une moyenne. Elles vous permettent de calculer des indicateurs clés de performance (KPI) et d'aider les utilisateurs à analyser les données à l'aide de différents attributs agrégés.

Les mesures personnalisées vous permettent de définir un calcul numérique spécifique pour un champ. Selon le type de champ, seuls certains types de mesures sont disponibles.

Pour ajouter une mesure personnalisée à une vignette, procédez comme suit:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la carte, cliquez sur + Ajouter, puis sélectionnez Mesure personnalisée. La boîte de dialogue Créer une mesure personnalisée s'affiche.

4. Dans la boîte de dialogue Créer une mesure personnalisée, procédez comme suit:

   1. Sélectionnez un champ dans le menu Champ à mesurer.
   2. Sélectionnez un type de mesure dans le menu Type de mesure.
   3. Saisissez un nom dans le champ Nom. Le nom apparaît dans le sélecteur de champs et dans le tableau de données.

   4. Dans l'onglet Filtres, procédez comme suit :

      1. Pour ajouter une condition de filtre, sélectionnez un champ dans le menu Nom du filtre. Vous pouvez ajouter ou supprimer des conditions de filtrage à l'aide des boutons Valeur de filtre add_circle_outline et remove_circle_outline, respectivement.
      2. Vous pouvez sélectionner la flèche à côté de Filtre personnalisé pour créer un l'expression de filtre personnalisé en utilisant Fonction et opérateur Looker pouvant être utilisés dans et personnalisés. L'éditeur d'expressions Looker suggère des noms de champs et affiche une aide sur la syntaxe pour toutes les fonctions que vous utilisez. Voici des exemples d'expressions :
         • Mesure les journaux du flux IOC pour une valeur unique. Vous ne pouvez utiliser cet exemple que dans l'exploration Correspondances RIO. ${ioc_matches.feed_log_type} != ""
         • Mesure l'IOC en secondes en fonction de l'intervalle de temps: ${ioc_matches.day_bucket_seconds}

   5. Dans l'onglet Détails du champ, procédez comme suit :

      • Sélectionnez un format dans le menu Format.
      • Si vous le souhaitez, ajoutez une description de 255 caractères maximum dans le champ Description. pour fournir aux autres utilisateurs des informations supplémentaires sur le champ personnalisé.

   6. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner le champ personnalisé pour l'ajouter à la vignette.

Créer un calcul de table personnalisé

Les calculs de table vous permettent de créer des métriques ad hoc. Elles sont comparables aux formules disponibles dans les outils de feuille de calcul, tels que Google Sheets.

Google Security Operations vous permet d'ajouter des calculs personnalisés à une carte. Ces calculs de table personnalisés sont créés à l'aide d'expressions Looker. Vous ne pouvez créer des calculs de table qu'à l'aide des champs de l'exploration.

Procédez comme suit pour créer un calcul de table et l'ajouter à une vignette:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la tuile, cliquez sur + Ajouter > Calcul de tables. La boîte de dialogue Créer un calcul de table s'affiche.
4. Dans la boîte de dialogue Créer un calcul de table, procédez comme suit:
   1. Sélectionnez un type de calcul dans Calcul. . Les options d'une expression personnalisée s'affichent par défaut.
   2. Saisissez une expression Looker dans le champ pour définir un calcul. Voici des exemples d'expressions de calculs de table:
      • L'expression suivante utilise la fonction diff hours pour montrent la différence entre deux horodatages. Vous ne pouvez utiliser cet exemple que dans l'exploration Détections de règles. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • L'expression suivante compte les valeurs IOC. Vous ne pouvez utiliser cet exemple que dans l'exploration Matchs IOC. count(${ioc_matches.ioc_value})
   3. Sélectionnez un format dans le menu Format.
   4. Saisissez un nom de calcul dans le champ Nom.
   5. Sélectionnez + Ajouter une description pour ajouter une description facultative donnant plus de contexte aux autres utilisateurs concernant le calcul de table.
   6. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour autres champs, vous pouvez sélectionner le champ de calcul personnalisé pour l'ajouter à la vignette ou le supprimer.

Sélectionner le type de graphique de visualisation

Les visualisations présentent les données de manière visuelle pour vous aider à identifier les anomalies et les tendances. Le tableau de bord SIEM des opérations de sécurité de Google est basé sur la technologie Looker, y compris les visualisations Looker.

Vous trouverez ci-dessous les types de visualisations que vous pouvez utiliser dans la solution SIEM Google Security Operations. tableaux de bord:

• Options du graphique à colonnes
• Options du graphique à barres
• Options du graphique à nuage de points
• Options du graphique en courbes
• Options de graphique en aires
• Options du graphique en boîte
• Options du graphique en cascade
• Options du graphique à secteurs
• Options de graphique en anneau
• Options du graphique d'entonnoir
• Options du graphique chronologique
• Options de graphique à valeur unique
• Options du graphique "Enregistrement unique"
• Options du tableau
• Options des graphiques de type tableau (anciens)
• Options de graphique en nuage de mots
• Options des graphiques Google Maps
• Options du graphique de la carte
• Options du graphique de carte statique (régions)
• Options du graphique de carte statique (points)

Le bouton Exécuter de la boîte de dialogue Modifier la carte vous permet d'afficher un aperçu à l'aide des champs et du type de visualisation sélectionnés. Actualisez l'aperçu après avoir ajusté et modifié la configuration des cartes en cliquant sur Run (Exécuter).

Sélectionner des champs à utiliser comme filtres

Les filtres vous permettent de limiter les données affichées dans la visualisation afin d'afficher uniquement les éléments qui vous intéressent. Vous pouvez créer des filtres à l'aide des champs du modèle de données de l'exploration.

Le tableau de bord SIEM des opérations de sécurité de Google est basé sur la technologie Looker, y compris les filtres Looker. Vous pouvez créer les types de filtres suivants : dans une carte:

• Les filtres standards créent des filtres à l'aide de champs prédéfinis ou personnalisés. Définissez ces filtres à l'aide de la section Filtres de la boîte de dialogue Modifier la carte.
• Filtres personnalisés avec des expressions Looker : spécifiez une logique métier détaillée, combinez les logiques AND et OR, ou utilisez des fonctions Looker. Cliquez sur le bouton Expression personnalisée dans la section Filtres de la boîte de dialogue Modifier la carte.

Certains champs prédéfinis peuvent être utilisés dans un filtre. Ces champs n'apparaissent dans la section Tous les champs que lorsque le modèle de données inclut des champs de filtre uniquement prédéfinis.

Pour ajouter un filtre à une carte, procédez comme suit :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Tous les champs, sélectionnez les champs que vous souhaitez utiliser comme filtres. en cliquant sur Filtrer par champ filter_list à côté de chaque nom de champ.

4. Dans la section Filtres, vous pouvez :

   • Définissez les conditions de filtre pour chaque champ répertorié dans la section Filtres.
   • Cliquez sur Expression personnalisée et ajoutez des valeurs dans le champ Filtre personnalisé.

5. Cliquez sur Run (Exécuter) pour mettre à jour l'aperçu de la visualisation.

Exemples pour des cas d'utilisation spécifiques

Les sections suivantes expliquent comment créer des visualisations adaptées à des cas d'utilisation spécifiques.

Créer une carte affichant les types d'IOC

Pour ajouter une vignette au tableau de bord afin de surveiller les types d'IOC:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choose an Explore (Choisir une exploration), sélectionnez IOC Matchs (Correspondances IOC).
4. Saisissez un nom de carte.
5. Sélectionnez les dimensions suivantes: Type d'oc et Date d'horodatage de l'événement > Date :
6. Sélectionnez l'option Measurements (Mesures) suivante: Count (Nombre).
7. Dans l'onglet En cours d'utilisation, pointez sur le champ Date d'horodatage de l'événement, puis sélectionnez filter_list Filtrer par champ. Le champ est alors ajouté à la section Filtres.
8. Dans la section Filtres, appliquez les conditions de filtrage que vous souhaitez utiliser.
9. Dans la section Visualisation, sélectionnez l'icône Colonne.

10. Dans la section Données, procédez comme suit:

    • Cliquez sur l'en-tête Nombre de correspondances IOC pour trier les champs par ordre croissant ou décroissant.
    • Définissez le Nombre maximal de lignes sur une valeur, par exemple 50, pour limiter le nombre de lignes affichées dans la visualisation.

11. Une fois la carte configurée, cliquez sur Run (Exécuter) pour prévisualiser la visualisation à l'aide des données Google Security Operations. L'aperçu s'affiche avec le Les types IOC par IOC correspondent à la date et à l'horodatage de l'événement.

    L'image suivante montre un exemple de graphique créé en suivant ces étapes.

    

12. Cliquez sur Enregistrer.

La page Tableaux de bord s'affiche avec la nouvelle vignette.

Créer une carte avec des champs énumérés

Le modèle de données unifié SIEM de Google Security Operations comprend plusieurs champs énumérés avec stockées sous forme de texte et de nombres. Les valeurs associées à chaque champ enum peuvent figure dans la liste des champs de l'UDM.

Dans certaines explorations, la valeur textuelle et la valeur numérique du champ d'énumération sont stockées dans des champs distincts. Par exemple, avec le champ metadata.event_type l'une des valeurs d'énumération est FILE_CREATION et le nombre associé est 14001.

Dans une exploration, les champs suivants stockent les valeurs metadata.event_type :

• metadata.event_type stocke la valeur numérique, 14001.
• metadata.event_type_enum_name stocke la valeur textuelle, FILE_CREATION.

Lorsque vous ajoutez un champ énuméré à une carte, ajoutez le champ qui stocke la valeur textuelle au lieu du nombre.

Suivez les instructions suivantes pour ajouter une carte avec des champs énumérés à un tableau de bord:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choose an Explore (Sélectionner une exploration), sélectionnez UDM Events (Événements UDM).
4. Saisissez un nom de carte.
5. Dans Rechercher un champ, recherchez un champ UDM, tel que metadata.event_type.
6. Dans Dimensions, sélectionnez metadata.event_type_enum_name et security_result.action_enum_name.
7. Dans Mesures, sélectionnez Nombre.
8. Dans l'onglet Utilisé, pointez sur security_result.action_enum_name puis sélectionnez filter_listFiltrer par champ. Les filtres du champ sélectionné s'affichent dans la section Filtres.
9. Dans la section Filtres, sélectionnez est égal à, puis BLOQUER en tant que valeurs.
10. Dans la section Visualisation, sélectionnez l'icône Table.

11. Dans la section Données, procédez comme suit:

    • Cliquez sur l'en-tête Nombre d'UDM pour trier les champs par ordre croissant ou décroissant.
    • Définissez la Limite de lignes sur une valeur (par exemple, 50) pour limiter les lignes qui apparaissent dans la visualisation.

12. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation à l'aide des données Google Security Operations. L'aperçu affiche les valeurs metadata.event_type par nombre, où le nom security_result.action_enum est BLOCK.

    L'image suivante montre un exemple de graphique créé en suivant ces étapes.

    

13. Cliquez sur Enregistrer.

La page Tableaux de bord s'affiche avec la carte nouvellement ajoutée.

Utiliser un tableau croisé dynamique dans un tableau de données

Vous pouvez utiliser un tableau croisé dynamique pour afficher le nombre d'événements pour plusieurs dimensions.

La carte suivante affiche le nombre d'événements pour les valeurs des champs metadata.event_type_enum_name et security_result_action_enum_name. Dans cet exemple, un pivot est appliqué au champ security_result_action_enum_name.

Pour créer ce tableau de données contenant un tableau croisé dynamique, procédez comme suit :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choose an Explore (Sélectionner une exploration), sélectionnez UDM Events (Événements UDM).
4. Saisissez un nom de carte.
5. Sélectionnez les champs Dimension metadata.event_type_enum_name et security_result_action_enum_name.
6. Sélectionnez le champ Mesurer Count.
7. Dans la section Filtre, créez les filtres suivants :
   • UDM metadata_event_timestamp a lieu au cours des 2 dernières heures.
   • UDM security_result.action_enum_name n'est pas nulle.
8. Dans l'onglet Utilisé, vérifiez que les champs suivants s'affichent. Le cas échéant sont manquantes, répétez les étapes précédentes pour configurer la carte.
   • metadata.event_timestamp
   • metadata.event_type_enum_name – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Dans la section Données, cliquez sur l'icône settings. dans l'en-tête de colonne security_result.action_enum_name, puis sélectionnez Tableau croisé dynamique.
10. Une nouvelle ligne apparaît dans la grille sous Données.
11. Dans la section Visualisation, sélectionnez l'icône Table.
12. Cliquez sur Run (Exécuter) pour afficher un aperçu de la visualisation.

L'image suivante montre ces options de configuration dans la boîte de dialogue Edit Tile (Modifier la carte).

Options de configuration pour les tableaux de données croisés dynamiques dans un tableau de données

Créer un graphique temporel à l'aide d'un tableau croisé dynamique avec des champs de date

Vous pouvez utiliser un tableau croisé dynamique avec des champs de date pour créer un graphique temporel. La carte suivante affiche le nombre d'événements par heure pour les valeurs des champs security_result_action_enum_name.

Dans cet exemple, un pivot est appliqué au champ security_result_action_enum_name. Le filtre limite la plage de dates et exclut les données pour lesquelles la valeur security_result_action_enum_name est null. Il utilise le champ de date metadata.event_timestamp Hour prédéfini qui partitionne les données par heure.

Pour utiliser un tableau croisé dynamique avec des champs de données, procédez comme suit :

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choose an Explore (Sélectionner une exploration), sélectionnez UDM Events (Événements UDM).
4. Saisissez un nom de carte.
5. Sélectionnez les champs Dimension : metadata.event_timestamp Hour et security_result_action_enum_name.
6. Sélectionnez le champ Mesure : Count.
7. Dans la section Filtre, créez les filtres suivants:
   • UDM metadata_event_timestamp est compris dans la plage, puis sélectionnez une date et une heure de début et de fin.
   • UDM security_result.action_enum_name n'est pas nulle.
8. Dans l'onglet Utilisé, vérifiez que les champs suivants sont affichés. Si des éléments sont manquants, répétez les étapes précédentes pour configurer la carte.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Dans la section Données, cliquez sur l'icône settings dans l'en-tête de la colonne security_result.action_enum_name, puis sélectionnez Pivot. Une nouvelle ligne s'affiche dans la grille de données.
10. Dans la section Visualisation, sélectionnez l'icône Table.
11. Cliquez sur Run (Exécuter) pour afficher un aperçu de la visualisation.

L'image suivante montre ces options de configuration dans la boîte de dialogue Edit Tile (Modifier la carte).

Options de configuration pour le pivot dans un champ de date

Créer un graphique avec des mesures de code temporel détaillées

Vous pouvez créer un graphique avec le nombre d'événements pour chaque type de journal, ainsi que les événements les plus anciens (min) et le plus récent (max). Ce graphique utilise le champ metadata.product_name pour identifier le type de journal.

Pour créer un graphique avec des codes temporels min ou max :

1. Ouvrir un tableau de bord existant pour le modifier ou créez un tableau de bord.

2. Cliquez sur Ajouter > Visualisation.

3. Dans la boîte de dialogue Choose an Explore (Sélectionner une exploration), sélectionnez UDM Events (Événements UDM).

4. Saisissez un nom de carte.

5. Sélectionnez le champ Dimension: metadata.product_name.

6. Sélectionnez les champs Mesure : Count, metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date.

7. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation. L'aperçu s'affiche avec metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date. au format de date.

8. Cliquez sur Enregistrer. La page Tableaux de bord s'affiche avec le graphique nouvellement ajouté. Le graphique comprend les colonnes metadata.product_name, UDM, metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date avec des valeurs.