Einem Dashboard Diagrammvisualisierung hinzufügen

Wenn Sie einem Dashboard ein Diagramm oder eine andere Visualisierung hinzufügen möchten, verwenden Sie eine Visualisierungskachel. Die Visualisierungskachel zeigt Daten aus der zugehörigen LookML-Ansicht an. Diese wird Erkunden, die Sie beim Erstellen der Kachel auswählen. In diesem Dokument wird Folgendes beschrieben:

• So erstellen Sie Diagramme und andere Visualisierungen mithilfe der Visualisierungskachel.
• Hier erfahren Sie, wie Sie Datenvisualisierungen für bestimmte Anwendungsfälle erstellen.

Ablauf

Auf übergeordneter Ebene führen Sie die folgenden Aktionen aus, um eine Visualisierung in einem Dashboard zu erstellen:

1. Fügen Sie dem Dashboard eine Visualisierungskachel hinzu.
2. Wählen Sie das Explore aus. Ein Explore ist der Ausgangspunkt für das neue und stellt ein bestimmtes Datenmodell dar.
3. Wählen Sie Datenfelder für die Visualisierung aus. Vordefinierte Felder werden in einer der folgenden Typen:
   • Dimensionen: Attribute der Daten, die Daten beschreiben. Beispiel: Die Quadratmeterzahl und Gebäudematerial eines Museums sind verschiedene Dimensionen innerhalb eines Museums-Datasets.
   • Messungen: numerische Darstellung einer oder mehrerer Dimensionen oder eines eindeutigen Datenattributs, z. B. als Anzahl oder Durchschnitt.
   • Nur-Filter-Felder: vordefinierte Felder, die nur in einem Filter verwendet werden können.
4. Optional können Sie benutzerdefinierte Felder erstellen und der Kachel hinzufügen, die einen bestimmten Anwendungsfall unterstützen.
5. Konfigurieren Sie die Kachel, indem Sie Folgendes auswählen:
   • Visualisierung: Hiermit werden die von Ihnen ausgewählten Felder visuell dargestellt. Ein Liniendiagramm kann beispielsweise Trends im Zeitverlauf zeigen.
   • Filter: Schränken Sie die Visualisierung so ein, dass nur relevante Daten angezeigt werden. Mit jedem Feld in einem Explore können Sie einen Filter erstellen.
6. Führen Sie die Visualisierung aus, um eine Vorschau der Ergebnisse anzuzeigen.
7. Speichern Sie die Visualisierungskachel.

In den folgenden Abschnitten dieses Dokuments erhalten Sie ausführlichere Informationen zu Konfiguration jeder Komponente in einer Visualisierungskachel.

Beispiel: Datentabelle erstellen

In den folgenden Schritten erfahren Sie mehr darüber, wie Sie eine Datentabelle mithilfe einer Visualisierungskachel erstellen. Außerdem werden die Konfigurationsoptionen im Dialogfeld Kachel bearbeiten angezeigt.

1. Wählen Sie unter Persönliche Dashboards oder Gemeinsam genutzte Dashboards ein Dashboard aus und Klicken Sie dann auf more_vert Dashboard-Aktionen > Dashboard bearbeiten.
2. Klicken Sie auf Hinzufügen > Visualisierung:
3. Wählen Sie ein Explore-Datenmodell aus. Das Dialogfeld Kachel bearbeiten wird angezeigt.
4. Geben Sie einen eindeutigen Kachelnamen ein.
5. Wählen Sie unter Alle Felder die vordefinierten Felder aus: Dimensionen und Messwerte. In der Regel müssen Sie mindestens zwei Felder auswählen, um eine Visualisierung zu erstellen. Die ausgewählten Felder werden im Bereich Daten angezeigt.
6. Optional: Erstellen und fügen Sie alle für die Visualisierung erforderlichen benutzerdefinierten Felder hinzu. Sie werden im Bereich Daten angezeigt.
7. Wählen Sie im Bereich Visualisierung die Option Tabelle als Visualisierungstyp aus. In der Visualisierung werden die ausgewählten Datenfelder in der Tabelle angezeigt.
8. Definieren Sie im Bereich Filter Filter, mit denen die Visualisierung auf die gewünschten Daten beschränkt wird. Mit jedem Feld in einem Explore können Sie einen Filter erstellen.
9. Führen Sie im Bereich Daten die folgenden Schritte aus:
   • Klicken Sie auf Feld-Header ansehen, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
   • Legen Sie das Zeilenlimit fest, um die Anzahl der Zeilen zu begrenzen, die in der Visualisierung angezeigt werden.
10. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit SIEM-Daten von Google Security Operations aufzurufen.
11. Klicken Sie auf Speichern. Das Dashboard wird mit der neu hinzugefügten Kachel angezeigt.

Auf der folgenden Abbildung ist der Bereich im Dialogfeld Kachel bearbeiten zu sehen, in dem Sie diese Schritte ausführen.

Dialogfeld „Kachel bearbeiten“ mit Konfiguration

Explore-Datenmodell auswählen

Google Security Operations SIEM bietet mehrere Datenmodelle, mit denen Sie ein Dashboard erstellen können. Jedes Datenmodell ist ein Looker-Explore, das eine Teilmenge von UDM-Feldern definiert.

Ein Explore ist der Ausgangspunkt beim Erstellen einer neuen Visualisierungskachelle. Sie ist für die explorative Datenanalyse konzipiert. Sie wählen ein Datenmodell-Explore für jede Visualisierungskachel aus.

Google Security Operations SIEM bietet die folgenden Datenmodell-Explores:

• Entitätsgraph
• IOC-Übereinstimmungen
• Messwert für die Datenaufnahme mit Aufnahmestatistiken
• Messwerte für die Datenaufnahme
• Datenaufnahmestatistiken
• Regelerkennungen
• Regelsätze mit Erkennungen
• UDM-Ereignisse
• UDM-Ereignisse – zusammengefasst

Optional können Sie benutzerdefinierte Felder erstellen, die nur mit der Kachel verwendet werden, in der sie erstellt wurden.

Felder für die Diagrammvisualisierung auswählen

Nachdem Sie die explorative Datenanalyse für eine Kachel ausgewählt haben, werden die vordefinierten UDM-Felder im Dialogfeld Expl. Datenanalyse auf dem Tab Alle Felder angezeigt.

Nachdem Sie auf dem Tab Alle Felder Felder ausgewählt haben, werden diese in beiden Tab In Verwendung und Bereich Daten In den folgenden Unterabschnitten werden die Feldtypen beschrieben, die Sie für die Erstellung einer Diagrammvisualisierung auswählen können.

Vordefinierte Felder

Jede explorative Datenanalyse enthält eine andere Gruppe von vordefinierten UDM-Feldern. Die in der Kachel verfügbaren vordefinierten Felder sind spezifisch für das Datenmodell, das Sie im Dialogfeld Explore auswählen auswählen.

Vordefinierte Felder werden in folgende Typen gruppiert:

• Dimensionen
• Messungen
• Nur-Filter-Felder

Die Symbole neben den einzelnen Feldern zeigen weitere Informationen an und geben die verfügbaren Optionen an. z. B. Nach Feld filtern, Pivot-Daten, Zusammenfassen, Gruppieren oder Gruppe. Klicken Sie auf das Symbol Info, um den Hilfetext für das Feld aufzurufen. Diese Symbole sind sichtbar, wenn Sie den Mauszeiger auf ein Feld bewegen. Weitere Informationen finden Sie unter Feldspezifische Informationen und Aktionen.

Mit vordefinierten Feldern können Sie benutzerdefinierte Dimensionen, Tabellenkalkulationen erstellen und Filter auf die Kachel anwenden.

Ein Explore kann verworfene Felder enthalten, die nicht mehr unterstützt werden. Verworfene Felder sind durch einen Feldnamen gefolgt von [D] gekennzeichnet.

Bestimmte Datenmodelle enthalten vordefinierte Nur-Filter-Felder, die nur in einem Filter verwendet werden können. Die Nur-Filter-Felder in einem Datenmodell können ein oder mehrere der folgenden Feldtypen:

• Einzelne UDM-Felder
• Gruppierte UDM-Felder

Einige Explore-Datenmodelle wie UDM-Ereignisse enthalten detailliertere Messwerte für Felder, in denen ein Zeitstempel gespeichert ist (z. B. principal.artifact.first_seen_time und security_result.about.file.last_modification_time).

Diese Messwerte unterteilen den Zeitstempel in detailliertere Intervalle wie Stunde, Tag, Woche oder Jahr. Das Modell enthält außerdem ein Minimum und ein Maximum für jedes Intervall. So können Sie detailliertere Diagramme erstellen, in denen die Ereignisanzahl basierend auf Zeit und Zeitintervallen zusammengefasst wird.

Benutzerdefinierte Felder

Benutzerdefinierte Felder sind Felder, die Sie mithilfe der vordefinierten Felder im Datenmodell für die Kachel erstellen. Die benutzerdefinierten Felder können nur in dieser Kachel verwendet werden.

Sie können jede der folgenden Arten von benutzerdefinierten Feldern erstellen:

• Benutzerdefinierte Dimensionen
• Benutzerdefinierte Messwerte
• Benutzerdefinierte Tabellenausdrücke

Klicken Sie im Dialogfeld Kachel bearbeiten unter Alle Felder > Benutzerdefinierte Felder auf + Hinzufügen, um das Menü für benutzerdefinierte Felder aufzurufen. Die folgende Abbildung zeigt die Position des Menüs.

Benutzerdefinierte Dimension erstellen

Benutzerdefinierte Dimensionen sind eindeutige Attribute, mit denen Sie Daten beschreiben können. Eine benutzerdefinierte Dimension kann beispielsweise die Konkatenierung des Vornamens und des Nachnamens eines Nutzers sein.

So fügen Sie einer Kachel benutzerdefinierte Dimensionen hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen > Benutzerdefinierte Dimension. Das Dialogfeld Benutzerdefinierte Dimension erstellen wird angezeigt.
4. Führen Sie im Dialogfeld Benutzerdefinierte Dimension erstellen die folgenden Schritte aus:
   1. Geben Sie im Feld Ausdruck einen Looker-Ausdruck ein, der definiert den Wert mithilfe einer beliebigen Looker-Funktion und eines Looker-Operators. Im Looker-Ausdruckseditor werden Feldnamen vorgeschlagen und Syntaxhilfe für alle von Ihnen verwendeten Funktionen. Hier einige Beispielausdrücke:
      • Verkettet den IOC-Feednamen und den IOC-Wert. Dieses Beispiel kann nur im explorativen Analysetool IOC-Spiele verwendet werden. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Gibt den ersten Wert zurück, der nicht leer ist. Die Reihenfolge ist Hostname und dann IP-Adresse. Wenn keines dieser Elemente vorhanden ist, wird _ angezeigt. Dieses Beispiel kann nur im explorativen Analysetool Entitätsgraph verwendet werden. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Wählen Sie im Menü Format ein Format aus.
   3. Geben Sie den Namen der benutzerdefinierten Dimension in das Feld Name ein. Dieser Wert wird auf dem Tab Alle Felder und in der Tabelle Daten angezeigt.
   4. Wähle + Beschreibung hinzufügen aus, um im Feld Beschreibung eine Beschreibung hinzuzufügen.
   5. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie eine benutzerdefinierte Dimension auswählen, um sie der Kachel hinzuzufügen oder daraus zu entfernen.

Benutzerdefinierte Messwerte erstellen

Ein Maß ist eine numerische Darstellung einer oder mehrerer Dimensionen (oder eindeutiger Attribute) der Daten), z. B. Anzahl oder Durchschnitt. Mithilfe von Ergebnissen können Sie Leistungskennzahlen (KPIs) berechnen und Daten anhand verschiedener aggregierter Attribute analysieren.

Mit benutzerdefinierten Messwerten können Sie eine bestimmte numerische Berechnung für ein Feld definieren. Je nach Feldtyp sind nur bestimmte Messwerte verfügbar.

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Messung zu einer Tile hinzuzufügen:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen. und wählen Sie Benutzerdefinierter Messwert aus. Das Dialogfeld Benutzerdefiniertes Messwert erstellen wird angezeigt.

4. Führen Sie im Dialogfeld Benutzerdefiniertes Messwert erstellen die folgenden Schritte aus:

   1. Wählen Sie im Menü Zu messendes Feld ein Feld aus.
   2. Wählen Sie im Menü Messtyp einen Messtyp aus.
   3. Geben Sie in das Feld Name einen Namen ein. Der Name wird im Field Picker angezeigt und in der Datentabelle.

   4. Führen Sie auf dem Tab Filter die folgenden Schritte aus:

      1. Um eine Filterbedingung hinzuzufügen, wählen Sie ein Feld aus der Menü Filtername: Sie können Filterbedingungen hinzufügen oder entfernen: add_circle_outline und remove_circle_outline Schaltfläche Wert filtern.
      2. Klicken Sie auf den Pfeil neben Benutzerdefinierter Filter, um einen Ausdruck mit benutzerdefiniertem Filter mit beliebigem Looker-Funktion und -Operator, die verwendet werden können in benutzerdefinierten Filtern. Der Looker-Ausdruckseditor hat einige Vorschläge Feldnamen und zeigt die Syntaxhilfe für alle von Ihnen verwendeten Funktionen an. Hier einige Beispiele:
         • Misst IOC-Feedprotokolle für einzelne Werte. Dieses Beispiel kann nur im explorativen Analysetool IOC-Spiele verwendet werden. ${ioc_matches.feed_log_type} != ""
         • Gemessene IOC-Tages-Bucket-Sekunden: ${ioc_matches.day_bucket_seconds}

   5. Gehen Sie auf dem Tab Felddetails so vor:

      • Wählen Sie im Menü Format ein Format aus.
      • Optional können Sie im Feld Beschreibung eine Beschreibung mit bis zu 255 Zeichen hinzufügen. , um anderen Nutzern zusätzliche Informationen zum benutzerdefinierten Feld zu geben.

   6. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie das benutzerdefinierte Feld auswählen, das der Kachel hinzugefügt werden soll.

Benutzerdefinierte Tabellenkalkulation erstellen

Mit Tabellenkalkulationen können Sie Ad-hoc-Messwerte erstellen. Sie sind vergleichbar die in Tabellenkalkulationstools wie Google Tabellen zu finden sind.

Mit Google Security Operations können Sie einer Kachel benutzerdefinierte Berechnungen hinzufügen. Diese benutzerdefinierten Tabellenkalkulationen werden mit Looker-Ausdrücken erstellt. Tabellenkalkulationen können nur mithilfe von Feldern im Explore erstellt werden.

So erstellen Sie eine Tabellenberechnung und fügen sie einer Kachel hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Gehen Sie im Bereich Benutzerdefinierte Felder des Dialogfelds Kachel bearbeiten so vor: Klicken Sie auf + Hinzufügen > Tabellenkalkulation. Das Dialogfeld Tabellenkalkulation erstellen wird angezeigt.
4. Führen Sie im Dialogfeld Tabellenkalkulation erstellen die folgenden Schritte aus:
   1. Wählen Sie unter Berechnung einen Berechnungstyp aus. . Die Optionen für einen benutzerdefinierten Ausdruck werden standardmäßig angezeigt.
   2. Geben Sie einen Looker-Ausdruck in das Feld ein. um eine Berechnung zu definieren. Hier einige Beispiele für Ausdrucke für Tabellenberechnungen:
      • Der folgende Ausdruck verwendet die Funktion diff hours, um die Differenz zwischen zwei Zeitstempeln. Dieses Beispiel kann nur im explorativen Analysetool Regelerkennungen verwendet werden. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • Im folgenden Ausdruck werden die IOC-Werte gezählt. Dieses Beispiel kann nur im explorativen Analysetool IOC-Spiele verwendet werden. count(${ioc_matches.ioc_value})
   3. Wählen Sie im Menü Format ein Format aus.
   4. Geben Sie in das Feld Name einen Namen für die Berechnung ein.
   5. Wählen Sie + Beschreibung hinzufügen aus, um optional eine Beschreibung hinzuzufügen, die anderen Nutzern mehr Kontext zur Tabellenkalkulation bietet.
   6. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie das benutzerdefinierte Berechnungsfeld auswählen, um es der Kachel hinzuzufügen oder daraus zu entfernen.

Diagrammtyp für die Visualisierung auswählen

In Visualisierungen werden die Daten visuell dargestellt, damit Sie Anomalien und Trends erkennen können. Das SIEM-Dashboard von Google Security Operations basiert auf Looker-Technologie, einschließlich Looker-Visualisierungen.

In den SIEM-Dashboards von Google Security Operations können Sie die folgenden Visualisierungstypen verwenden:

• Optionen für Säulendiagramme
• Optionen für Balkendiagramme
• Optionen für Streudiagramme
• Optionen für Liniendiagramme
• Optionen für Flächendiagramme
• Optionen für Boxplot-Diagramme
• Optionen für Wasserfalldiagramme
• Optionen für Kreisdiagramme
• Optionen für Diagramme vom Typ „Mehrere Ringdiagramme“
• Optionen für Trichterdiagramme
• Optionen für Zeitachsendiagramme
• Diagrammoptionen für einzelne Werte
• Optionen für Diagramme mit einem einzelnen Datensatz
• Optionen für Tabellendiagramme
• Optionen für Tabellendiagramme (alt)
• Optionen für Wortwolkendiagramme
• Diagrammoptionen in Google Maps
• Optionen für Kartendiagramme
• Optionen für Diagramme mit statischen Karten (Regionen)
• Optionen für Diagramme (Punkte)

Über die Schaltfläche Ausführen im Dialogfeld Kachel bearbeiten können Sie eine Vorschau mit den ausgewählten Feldern und dem Visualisierungstyp anzeigen. Vorschau nach Anpassung aktualisieren und ändern Sie die Kachelkonfiguration, indem Sie auf Ausführen klicken.

Felder auswählen, die als Filter verwendet werden sollen

Mit Filtern können Sie die in der Visualisierung angezeigten Daten auf Elemente beschränken. von Interesse sein. Filter werden mithilfe von Feldern im Explore-Datenmodell erstellt.

Das SIEM-Dashboard von Google Security Operations basiert auf der Looker-Technologie, einschließlich Looker-Filtern. In einer Kachel können Sie die folgenden Arten von Filtern erstellen:

• Standardfilter werden mit vordefinierten oder benutzerdefinierten Feldern erstellt. Definieren Sie diese Filter im Bereich Filter des Dialogfelds Kachel bearbeiten.
• Benutzerdefinierte Filter mit Looker-Ausdrücken: Sie können detaillierte Geschäftslogik angeben, AND- und OR-Logik kombinieren oder Looker-Funktionen verwenden. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Filter auf die Schaltfläche Benutzerdefinierter Ausdruck.

Bestimmte vordefinierte Felder können in einem Filter verwendet werden. Diese Felder werden nur dann im Bereich Alle Felder angezeigt, wenn das Datenmodell vordefinierte Nur-Filter-Felder enthält.

So fügen Sie einer Kachel einen Filter hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Wählen Sie unter Alle Felder die Felder aus, die Sie als Filter verwenden möchten. Klicken Sie dazu neben jedem Feldnamen auf filter_list Nach Feld filtern.

4. Im Bereich Filter haben Sie folgende Möglichkeiten:

   • Definieren Sie die Filterbedingungen für jedes Feld, das im Abschnitt Filter aufgeführt ist.
   • Klicken Sie auf Benutzerdefinierter Ausdruck und fügen Sie Werte in das Feld Benutzerdefinierter Filter ein.

5. Klicken Sie auf Ausführen, um die Visualisierungsvorschau zu aktualisieren.

Beispiele zur Lösung bestimmter Anwendungsfälle

In den folgenden Abschnitten wird beschrieben, wie Sie Visualisierungen erstellen, die bestimmte Anwendungsfälle unterstützen.

Kachel erstellen, die IOC-Typen anzeigt

So fügen Sie dem Dashboard eine Kachel hinzu, um IOC-Typen zu überwachen:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung:
3. Wählen Sie im Dialogfeld Choose an Explore (Explore auswählen) die Option IOC Matches (IOC-Übereinstimmungen) aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die folgenden Dimensionen aus: Ioc Type und Datum des Ereigniszeitstempels > Date fest.
6. Wählen Sie die folgenden Messwerte aus: Anzahl.
7. Bewegen Sie den Mauszeiger auf dem Tab In Verwendung über Date Event Timestamp Date und wählen Sie dann filter_list Nach Feld filtern aus. Dadurch wird das Feld dem Abschnitt Filter hinzugefügt.
8. Wenden Sie im Bereich Filter die gewünschten Filterbedingungen an.
9. Wählen Sie im Bereich Visualisierung das Symbol Spalte aus.

10. Führen Sie im Abschnitt Daten die folgenden Schritte aus:

    • Klicken Sie auf den Header Anzahl der Übereinstimmungen, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Legen Sie das Zeilenlimit auf einen Wert wie 50 fest, um die in der Visualisierung angezeigten Zeilen zu begrenzen.

11. Klicken Sie nach der Konfiguration der Kachel auf Ausführen, um eine Vorschau der Visualisierung mit Google Security Operations-Daten aufzurufen. Die Vorschau wird mit den IOC-Typen angezeigt, die mit dem Datum des Ereigniszeitstempels übereinstimmen.

    Die folgende Abbildung zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.

    

12. Klicken Sie auf Speichern.

Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.

Kachel mit aufgezählten Feldern erstellen

Das einheitliche Datenmodell von Google Security Operations für SIEM enthält mehrere aufgezählte Felder mit Werten, die sowohl als Text als auch als Zahlen gespeichert werden. Die mit jedem enum-Feld verknüpften Werte können sind in der UDM-Feldliste enthalten.

In einigen explorativen Datenanalysen werden der Textwert und der numerische Wert des enum-Felds in separaten Feldern gespeichert. Beispiel: Mit dem Feld metadata.event_type Einer der enum-Werte ist FILE_CREATION und die zugehörige Zahl 14.001.

In einem Explore werden die metadata.event_type-Werte in den folgenden Feldern gespeichert:

• metadata.event_type speichert den numerischen Wert 14001.
• In metadata.event_type_enum_name wird der Textwert FILE_CREATION gespeichert.

Wenn Sie einer Kachel ein Feld mit einer Aufzählung hinzufügen, fügen Sie das Feld hinzu, in dem der Textwert gespeichert ist, und nicht die Zahl.

So fügen Sie einem Dashboard eine Kachel mit aufgezählten Feldern hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Suchen Sie unter Feld suchen nach einem UDM-Feld wie metadata.event_type.
6. Wählen Sie unter Dimensionen die Optionen metadata.event_type_enum_name und security_result.action_enum_name aus.
7. Wählen Sie unter Messwerte die Option Anzahl aus.
8. Halten Sie auf dem Tab In Verwendung den Mauszeiger auf das Feld security_result.action_enum_name und wählen Sie dann filter_listNach Feld filtern aus. Daraufhin werden die Filter des ausgewählten Felds im Bereich Filter angezeigt.
9. Wählen Sie im Bereich Filter die Option ist gleich und dann BLOCK als Werte aus.
10. Wählen Sie im Bereich Visualisierung das Symbol Tabelle aus.

11. Führen Sie im Abschnitt Daten die folgenden Schritte aus:

    • Klicken Sie auf den Header UDM-Anzahl, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Legen Sie für Zeilenlimit einen Wert fest (z. B. 50), um die Anzahl der Zeilen in der Visualisierung zu begrenzen.

12. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit Google Security Operations-Daten aufzurufen. In der Vorschau werden die Werte für metadata.event_type nach Zählung angezeigt, wobei der Name security_result.action_enum BLOCK ist.

    Die folgende Abbildung zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.

    

13. Klicken Sie auf Speichern.

Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.

Pivot-Tabelle in einer Datentabelle verwenden

Mit einem Pivot lässt sich die Anzahl der Ereignisse in mehreren Dimensionen darstellen.

In der folgenden Kachel sehen Sie die Ereignisanzahl nach Werten in den Feldern metadata.event_type_enum_name und security_result_action_enum_name. In diesem Beispiel wird auf das Feld security_result_action_enum_name eine Pivot-Tabelle angewendet.

Führen Sie die folgenden Schritte aus, um diese Datentabelle mit einer Pivot-Tabelle zu erstellen:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die Dimensionsfelder metadata.event_type_enum_name und security_result_action_enum_name aus.
6. Wählen Sie das Feld Messwert Count aus.
7. Erstellen Sie im Abschnitt Filter die folgenden Filter:
   • UDM metadata_event_timestamp in den letzten 2 Stunden.
   • UDM security_result.action_enum_name ist nicht null.
8. Prüfen Sie auf dem Tab In Verwendung, ob die folgenden Felder angezeigt werden. Wenn etwas fehlt, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
   • metadata.event_timestamp
   • metadata.event_type_enum_name – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Klicken Sie im Bereich Daten in der Spaltenüberschrift security_result.action_enum_name auf das Symbol settings und wählen Sie dann Pivot aus.
10. Im Raster unter Daten wird eine neue Zeile angezeigt.
11. Wählen Sie im Bereich Visualisierung das Symbol Tabelle aus.
12. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.

In der folgenden Abbildung sehen Sie diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten.

Konfigurationsoptionen für Pivot-Tabellen in einer Datentabelle

Zeitreihendiagramm mit einer Pivot-Tabelle mit Datumsfeldern erstellen

Mit einem Pivot-Diagramm mit Datumsfeldern können Sie ein Zeitdiagramm erstellen. Auf der folgenden Kachel werden die stündlichen Ereigniszahlen für Werte in den security_result_action_enum_name-Feldern angezeigt.

In diesem Beispiel wird auf das Feld security_result_action_enum_name eine Pivot-Tabelle angewendet. Der Filter schränkt den Datumsbereich ein und filtert Daten heraus, in denen der security_result_action_enum_name Wert null ist. Es wird das vordefinierte Datumsfeld metadata.event_timestamp Hour verwendet. die Daten nach Stunde partitioniert.

So verwenden Sie einen Pivot mit Datenfeldern:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung:
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die Felder Dimension aus: metadata.event_timestamp Hour und security_result_action_enum_name.
6. Wählen Sie das Feld Measure (Messwert) aus: Count.
7. Erstellen Sie im Bereich Filter die folgenden Filter:
   • UDM metadata_event_timestamp liegt im Bereich und wählen Sie dann sowohl ein Start- als auch ein Enddatum und eine Uhrzeit aus.
   • UDM security_result.action_enum_name ist nicht null.
8. Prüfen Sie auf dem Tab In Verwendung, ob die folgenden Felder angezeigt werden. Falls vorhanden fehlen, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Klicken Sie im Bereich Daten in der Spaltenüberschrift security_result.action_enum_name auf das Symbol settings und wählen Sie dann Pivot aus. Im Datenraster wird eine neue Zeile angezeigt.
10. Klicken Sie im Bereich Visualisierung auf das Symbol Tabelle.
11. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.

In der folgenden Abbildung sehen Sie diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten.

Konfigurationsoptionen für Pivot in einem Datumsfeld

Diagramm mit detaillierten Zeitstempelmesswerten erstellen

Sie können ein Diagramm mit Ereignisanzahlen für jeden Protokolltyp sowie dem ältesten (min) und dem neuesten (max) Ereigniszeitstempel erstellen. In diesem Diagramm wird die metadata.product_name verwendet zur Identifizierung des Logtyps.

So erstellen Sie ein Diagramm mit min- oder max-Zeitstempeln:

1. Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.

2. Klicken Sie auf Hinzufügen > Visualisierung.

3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.

4. Geben Sie einen Kachelnamen ein.

5. Wählen Sie das Feld Dimension aus: metadata.product_name.

6. Wählen Sie die Felder Messwert aus: Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date.

7. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung anzuzeigen. In der Vorschau werden die Werte metadata.event_timestamp (min) Date und metadata.event_timestamp (max) Date im Datumsformat angezeigt.

8. Klicken Sie auf Speichern. Die Seite Dashboards mit dem neu hinzugefügten Diagramm wird angezeigt. Das Diagramm enthält die Spalten metadata.product_name, UDM, metadata.event_timestamp (min) Date und metadata.event_timestamp (max) Date mit Werten.