Einem Dashboard eine Diagrammvisualisierung hinzufügen

Um einem Dashboard ein Diagramm oder eine andere Visualisierung hinzuzufügen, verwenden Sie eine Visualisierungskachel. Die Visualisierungskachel zeigt Daten aus der zugehörigen LookML-Ansicht (Explore) an, die Sie beim Erstellen der Kachel auswählen. In diesem Dokument wird Folgendes beschrieben:

• Hier erfahren Sie, wie Sie mit der Visualisierungskachel Diagramme und andere Visualisierungen erstellen.
• So erstellen Sie Datenvisualisierungen für bestimmte Anwendungsfälle.

Das Verfahren im Überblick

Auf übergeordneter Ebene führen Sie die folgenden Aktionen aus, um eine Visualisierung in einem Dashboard zu erstellen:

1. Dem Dashboard eine Visualisierungskachel hinzufügen.
2. Wählen Sie das Explore aus. Ein Explore ist der Ausgangspunkt für die neue Kachel und stellt ein bestimmtes Datenmodell dar.
3. Wählen Sie Datenfelder für die Visualisierung aus. Vordefinierte Felder sind in einem der folgenden Typen gruppiert:
   • Dimensionen: Attribute der Daten, die die Daten beschreiben. Beispiel: Die Quadratmeterzahl und das Baumaterial eines Museums haben unterschiedliche Dimensionen innerhalb eines Museums-Datasets.
   • Messungen: numerische Darstellung einer oder mehrerer Dimensionen oder eines eindeutigen Attributs der Daten, z. B. Anzahl oder Durchschnitt.
   • Nur-Filter-Felder: Vordefinierte Felder, die nur in einem Filter verwendet werden können.
4. Optional können Sie benutzerdefinierte Felder erstellen und der Kachel hinzufügen, die einen bestimmten Anwendungsfall unterstützen.
5. Konfigurieren Sie die Kachel, indem Sie Folgendes auswählen:
   • Darstellung: Die ausgewählten Felder werden visuell dargestellt. Ein Liniendiagramm kann beispielsweise Trends im Zeitverlauf darstellen.
   • Filter: Schränken Sie die Visualisierung so ein, dass nur relevante Daten angezeigt werden. Jedes Feld in einem Explore kann zum Erstellen eines Filters verwendet werden.
6. Führen Sie die Visualisierung aus, um eine Vorschau der Ergebnisse anzuzeigen.
7. Speichern Sie die Visualisierungskachel.

Die folgenden Abschnitte dieses Dokuments enthalten ausführlichere Informationen zum Konfigurieren der einzelnen Komponenten in einer Visualisierungskachel.

Beispiel: Datentabelle erstellen

In den folgenden Schritten finden Sie weitere Informationen zum Erstellen einer Datentabelle mit einer Visualisierungskachel. Außerdem werden die Konfigurationsoptionen im Dialogfeld Kachel bearbeiten gezeigt.

1. Wählen Sie unter Persönliche Dashboards oder Geteilte Dashboards ein Dashboard aus und klicken Sie dann auf more_vert Dashboard-Aktionen > Dashboard bearbeiten.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie ein Datenmodell vom Typ Expl. Datenanalyse aus. Das Dialogfeld Kachel bearbeiten wird angezeigt.
4. Geben Sie einen eindeutigen Kachelnamen ein.
5. Wählen Sie unter Alle Felder die vordefinierten Felder aus: Dimensionen und Messungen. In der Regel müssen Sie mindestens zwei Felder auswählen, um eine Visualisierung zu erstellen. Die ausgewählten Felder werden im Bereich Daten angezeigt.
6. Optional können Sie benutzerdefinierte Felder erstellen und hinzufügen, die für die Visualisierung erforderlich sind. Sie werden im Bereich Daten angezeigt.
7. Wählen Sie im Bereich Visualisierung als Visualisierungstyp die Option Tabelle aus. In der Visualisierung werden die ausgewählten Datenfelder in der Tabelle angezeigt.
8. Definieren Sie im Bereich Filter Filter, die die Visualisierung so einschränken, dass nur die relevanten Daten angezeigt werden. Jedes Feld in einem Explore kann zum Erstellen eines Filters verwendet werden.
9. Führen Sie im Abschnitt Daten die folgenden Schritte aus:
   • Klicken Sie auf Feldüberschrift „Explore“, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
   • Legen Sie ein Zeilenlimit fest, um die Anzahl der in der Visualisierung angezeigten Zeilen zu begrenzen.
10. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit Google Security Operations SIEM-Daten anzuzeigen.
11. Klicken Sie auf Speichern. Das Dashboard wird mit der neu hinzugefügten Kachel angezeigt.

In der folgenden Abbildung sehen Sie im Dialogfeld Kachel bearbeiten die Stelle, an der Sie diese Schritte ausführen.

Dialogfeld „Kachel bearbeiten“ mit Konfiguration

Explore-Datenmodell auswählen

Google Security Operations SIEM bietet mehrere Datenmodelle, die Sie zum Erstellen eines Dashboards verwenden können. Jedes Datenmodell ist ein Looker-Explore, das eine Teilmenge von UDM-Feldern definiert.

Ein Explore ist der Ausgangspunkt für das Erstellen einer neuen Visualisierungskachel. Sie dient dazu, ein bestimmtes Datenmodell zu untersuchen. Sie wählen für jede Visualisierungskachel ein Datenmodell-Explore aus.

Google Security Operations SIEM bietet die folgenden Datenmodell-Explores:

• Entitätsdiagramm
• IOC-Übereinstimmungen
• Aufnahmemesswert mit Aufnahmestatistiken
• Aufnahmemesswerte
• Aufnahmestatistiken
• Regelerkennungen
• Regelsätze mit Erkennungen
• UDM-Ereignisse
• Zusammengefasste UDM-Ereignisse

Optional können Sie benutzerdefinierte Felder erstellen, die nur mit der Kachel verwendet werden, in der sie erstellt wurden.

Felder für die Diagrammvisualisierung auswählen

Nachdem Sie das Explore für eine Kachel ausgewählt haben, werden die vordefinierten UDM-Felder auf dem Tab Alle Felder des Dialogfelds Explore angezeigt.

Nachdem Sie Felder auf dem Tab Alle Felder ausgewählt haben, werden sie sowohl auf dem Tab In Verwendung als auch im Bereich Daten angezeigt. In den folgenden Unterabschnitten werden die Feldtypen beschrieben, die Sie zum Erstellen einer Diagrammvisualisierung auswählen können.

Vordefinierte Felder

Jedes Explore enthält einen anderen Satz vordefinierter UDM-Felder. Die in der Kachel verfügbaren vordefinierten Felder sind spezifisch für das Datenmodell, das Sie im Dialogfeld Explore auswählen auswählen.

Vordefinierte Felder sind in folgende Typen unterteilt:

• Dimensionen
• Messungen
• Nur-Filter-Felder

Die Symbole neben den einzelnen Feldern enthalten weitere Informationen und geben verfügbare Optionen an, z. B. Nach Feld filtern, Pivot-Daten, Aggregieren, Container oder Gruppe. Klicken Sie auf das Symbol Info, um Hilfetext für das Feld aufzurufen. Diese Symbole sind sichtbar, wenn Sie den Zeiger über ein Feld halten. Weitere Informationen finden Sie unter Feldspezifische Informationen und Aktionen.

Sie können vordefinierte Felder verwenden, um benutzerdefinierte Dimensionen und Messwerte sowie Tabellenkalkulationen zu erstellen und Filter auf die Kachel anzuwenden.

Ein Explore kann eingestellte Felder enthalten, die nicht mehr unterstützt werden. Verworfene Felder sind durch einen Feldnamen gefolgt von [D] gekennzeichnet.

Bestimmte Datenmodelle enthalten vordefinierte Filterfelder, die nur in einem Filter verwendet werden können. Die reinen Filterfelder in einem Datenmodell können einen oder mehrere der folgenden Feldtypen enthalten:

• Einzelne UDM-Felder
• Gruppierte UDM-Felder

Einige Explore-Datenmodelle wie UDM-Ereignisse enthalten detailliertere Messwerte für Felder, in denen ein Zeitstempel gespeichert wird (z. B. principal.artifact.first_seen_time und security_result.about.file.last_modification_time).

Diese Messungen teilen den Zeitstempel in detailliertere Schritte auf, z. B. Stunde, Tag, Woche oder Jahr. Das Modell stellt auch eine minimale und eine maximale Messung für jedes Inkrement bereit. So können Sie detailliertere Diagramme erstellen, in denen die Anzahl der Ereignisse basierend auf Zeit- und Zeitabschnitten aggregiert wird.

Benutzerdefinierte Felder

Benutzerdefinierte Felder sind Felder, die Sie mithilfe der vordefinierten Felder erstellen, die im Datenmodell für die Kachel verfügbar sind. Die benutzerdefinierten Felder können nur in dieser Kachel verwendet werden.

Sie können folgende Arten von benutzerdefinierten Feldern erstellen:

• Benutzerdefinierte Dimensionen
• Benutzerdefinierte Messungen
• Benutzerdefinierte Tabellenausdrücke

Sie können im Dialogfeld Kachel bearbeiten auf das Menü für benutzerdefinierte Felder zugreifen. Klicken Sie dazu unter Alle Felder > Benutzerdefinierte Felder auf + Hinzufügen. In der folgenden Abbildung sehen Sie die Position des Menüs.

Benutzerdefinierte Dimension erstellen

Benutzerdefinierte Dimensionen sind eindeutige Attribute, mit denen Sie Daten beschreiben können. Die Verkettung des Vor- und Nachnamens eines Nutzers kann beispielsweise eine benutzerdefinierte Dimension sein.

So fügen Sie einer Kachel eine benutzerdefinierte Dimension hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine zu bearbeitende Kachel.
3. Klicken Sie im Bereich Benutzerdefinierte Felder des Dialogfelds Kachel bearbeiten auf + Hinzufügen > Benutzerdefinierte Dimension. Das Dialogfeld Benutzerdefinierte Dimension erstellen wird angezeigt.
4. Führen Sie im Dialogfeld Benutzerdefinierte Dimension erstellen die folgenden Schritte aus:
   1. Geben Sie im Feld Ausdruck einen Looker-Ausdruck ein, der den Wert mithilfe einer beliebigen Looker-Funktion und eines Looker-Operators definiert. Im Looker-Ausdruckseditor werden Feldnamen vorgeschlagen und die Syntaxhilfe für alle von Ihnen verwendeten Funktionen angezeigt. Im Folgenden finden Sie Beispielausdrücke:
      • Verkettet den Namen des IOC-Feeds und den IOC-Wert. Sie können dieses Beispiel nur im Explore IOC Matches verwenden. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Gibt den ersten Wert zurück, der nicht leer ist. Der Auftrag lautet „Hostname“ und dann „IP-Adresse“. Wenn beides nicht vorhanden ist, wird _ angezeigt. Sie können dieses Beispiel nur im Entitätsdiagramm-Explore verwenden. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Wählen Sie im Menü Format ein Format aus.
   3. Geben Sie den Namen der benutzerdefinierten Dimension im Feld Name an. Dieser Wert wird auf dem Tab Alle Felder und in der Tabelle Daten angezeigt.
   4. Wählen Sie + Beschreibung hinzufügen aus, um im Feld Beschreibung eine Beschreibung hinzuzufügen.
   5. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern können Sie eine benutzerdefinierte Dimension auswählen, um sie der Kachel hinzuzufügen oder daraus zu entfernen.

Benutzerdefinierte Messungen erstellen

Messwerte sind eine numerische Darstellung einer oder mehrerer Dimensionen (oder eindeutiger Attribute der Daten), z. B. count oder average. Mit Messwerten können Sie Leistungsindikatoren (KPIs) berechnen und Nutzern helfen, Daten mithilfe verschiedener aggregierter Attribute zu analysieren.

Mit benutzerdefinierten Messungen können Sie eine bestimmte numerische Berechnung für ein Feld definieren. Je nach Feldtyp sind nur bestimmte Typen von Messungen verfügbar.

So fügen Sie einer Kachel eine benutzerdefinierte Messung hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine zu bearbeitende Kachel.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen und wählen Sie Benutzerdefinierte Messung aus. Das Dialogfeld Benutzerdefinierte Messung erstellen wird angezeigt.

4. Führen Sie im Dialogfeld Benutzerdefinierte Messung erstellen die folgenden Schritte aus:

   1. Wählen Sie ein Feld aus dem Menü Zu messendes Feld aus.
   2. Wählen Sie im Menü Messtyp einen Typ aus.
   3. Geben Sie in das Feld Name einen Namen ein. Der Name erscheint im Field Picker und in der Datentabelle.

   4. Führen Sie auf dem Tab Filter die folgenden Schritte aus:

      1. Wählen Sie zum Hinzufügen einer Filterbedingung ein Feld aus dem Menü Filtername aus. Filterbedingungen können mit den Schaltflächen add_circle_outline und remove_circle_outline Filterwert hinzugefügt oder entfernt werden.
      2. Sie können den Pfeil neben Benutzerdefinierter Filter auswählen, um einen benutzerdefinierten Filterausdruck mit einer beliebigen Looker-Funktion und einem beliebigen Operator zu erstellen, die in benutzerdefinierten Filtern verwendet werden können. Im Looker-Ausdruckseditor werden Feldnamen vorgeschlagen und die Syntaxhilfe für alle von Ihnen verwendeten Funktionen angezeigt. Im Folgenden finden Sie Beispielausdrücke:
         • Misst IOC-Feedprotokolle für eindeutige Werte. Sie können dieses Beispiel nur im Explore IOC Matches verwenden. ${ioc_matches.feed_log_type} != ""
         • Misst den IOC-Tag in Bucket-Sekunden: ${ioc_matches.day_bucket_seconds}

   5. Führen Sie auf dem Tab Felddetails die folgenden Schritte aus:

      • Wählen Sie im Menü Format ein Format aus.
      • Fügen Sie optional im Feld Beschreibung eine Beschreibung mit bis zu 255 Zeichen hinzu, um anderen Nutzern zusätzliche Informationen zum benutzerdefinierten Feld bereitzustellen.

   6. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern können Sie das benutzerdefinierte Feld auswählen, das der Kachel hinzugefügt werden soll.

Benutzerdefinierte Tabellenkalkulation erstellen

Mithilfe von Tabellenkalkulationen können Sie Ad-hoc-Messwerte erstellen. Sie sind vergleichbar mit Formeln, die in Tabellenkalkulationstools wie Google Tabellen zu finden sind.

Google Security Operations bietet Ihnen die Möglichkeit, einer Kachel benutzerdefinierte Berechnungen hinzuzufügen. Diese benutzerdefinierten Tabellenkalkulationen werden mit Looker-Ausdrücken erstellt. Tabellenkalkulationen können nur mit Feldern im Explore erstellt werden.

Führen Sie die folgenden Schritte aus, um eine Tabellenkalkulation zu erstellen und zu einer Kachel hinzuzufügen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine zu bearbeitende Kachel.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen > Tabellenkalkulation. Das Dialogfeld Tabellenkalkulation erstellen wird angezeigt.
4. Führen Sie im Dialogfeld Tabellenkalkulation erstellen die folgenden Schritte aus:
   1. Wählen Sie im Menü Berechnung einen Berechnungstyp aus. Die Optionen für einen benutzerdefinierten Ausdruck werden standardmäßig angezeigt.
   2. Geben Sie einen Looker-Ausdruck in das Feld ein, um eine Berechnung zu definieren. Im Folgenden finden Sie Beispiele für Tabellenberechnungsausdrücke:
      • Der folgende Ausdruck verwendet die Funktion diff hours, um die Differenz zwischen zwei Zeitstempeln anzuzeigen. Sie können dieses Beispiel nur im Explore Regelerkennung verwenden. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • Der folgende Ausdruck zählt die IOC-Werte. Sie können dieses Beispiel nur im Explore IOC Matches verwenden. count(${ioc_matches.ioc_value})
   3. Wählen Sie im Menü Format ein Format aus.
   4. Geben Sie in das Feld Name einen Namen für die Berechnung ein.
   5. Wählen Sie + Beschreibung hinzufügen aus, um eine optionale Beschreibung hinzuzufügen und anderen Nutzern mehr Kontext zur Tabellenkalkulation zu geben.
   6. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern können Sie das benutzerdefinierte Berechnungsfeld auswählen, um es der Kachel hinzuzufügen oder daraus zu entfernen.

Wählen Sie den Typ des Visualisierungsdiagramms aus.

In Visualisierungen werden die Daten visuell dargestellt, damit Sie Anomalien und Trends erkennen können. Das Google Security Operations SIEM-Dashboard basiert auf Looker-Technologie, einschließlich Looker-Visualisierungen.

Im Folgenden sind die Visualisierungstypen aufgeführt, die Sie in Google Security Operations SIEM-Dashboards verwenden können:

• Optionen für Säulendiagramme
• Optionen für Balkendiagramme
• Optionen für Streudiagramme
• Optionen für Liniendiagramme
• Optionen für Flächendiagramme
• Optionen für Boxplot-Diagramme
• Optionen für Wasserfalldiagramme
• Optionen für Kreisdiagramme
• Optionen für Ringdiagramme
• Optionen für Trichterdiagramme
• Optionen für Zeitachsendiagramme
• Optionen für Einzelwertdiagramme
• Optionen für Diagramm mit einem einzelnen Eintrag
• Optionen für Tabellendiagramme
• Diagrammoptionen für Tabellen (alt)
• Optionen für Word-Cloud-Diagramme
• Diagrammoptionen in Google Maps
• Optionen für Kartendiagramme
• Optionen für das Diagramm „Static Map (Regionen)“
• Optionen für das Diagramm „Static Map (Punkte)“

Über die Schaltfläche Ausführen im Dialogfeld Kachel bearbeiten können Sie eine Vorschau mit den ausgewählten Feldern und dem Visualisierungstyp anzeigen lassen. Aktualisieren Sie die Vorschau, nachdem Sie die Kachelkonfiguration angepasst und geändert haben. Klicken Sie dazu auf Ausführen.

Felder zur Verwendung als Filter auswählen

Mit Filtern können Sie die in der Visualisierung angezeigten Daten auf relevante Elemente beschränken. Sie erstellen Filter mithilfe von Feldern im Explore-Datenmodell.

Das Google Security Operations SIEM-Dashboard basiert auf Looker-Technologie, einschließlich Looker-Filtern. In einer Kachel können Sie die folgenden Arten von Filtern erstellen:

• Mit Standardfiltern werden Filter anhand vordefinierter oder benutzerdefinierter Felder erstellt. Definieren Sie diese Filter im Dialogfeld Kachel bearbeiten im Bereich Filter.
• Benutzerdefinierte Filter mit Looker-Ausdrücken: Geben Sie eine detaillierte Geschäftslogik an, kombinieren Sie AND- und OR-Logik oder verwenden Sie Looker-Funktionen. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Filter auf die Schaltfläche Benutzerdefinierter Ausdruck.

Bestimmte vordefinierte Felder können in einem Filter verwendet werden. Diese Felder werden nur dann im Bereich Alle Felder angezeigt, wenn das Datenmodell vordefinierte Nur-Filter-Felder enthält.

Führen Sie die folgenden Schritte aus, um einer Kachel einen Filter hinzuzufügen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine zu bearbeitende Kachel.
3. Wählen Sie im Bereich Alle Felder die Felder aus, die Sie als Filter verwenden möchten. Klicken Sie dazu neben dem jeweiligen Feldnamen auf filter_list Nach Feld filtern.

4. Im Bereich Filter haben Sie folgende Möglichkeiten:

   • Definieren Sie die Filterbedingungen für jedes Feld im Bereich Filter.
   • Klicken Sie auf Benutzerdefinierter Ausdruck und fügen Sie im Feld Benutzerdefinierter Filter Werte hinzu.

5. Klicken Sie auf Ausführen, um die Visualisierungsvorschau zu aktualisieren.

Beispiele für spezifische Anwendungsfälle

In den folgenden Abschnitten wird beschrieben, wie Visualisierungen für bestimmte Anwendungsfälle erstellt werden.

Kachel erstellen, die IOC-Typen anzeigt

Gehen Sie folgendermaßen vor, um dem Dashboard eine Kachel zur Überwachung von IOC-Typen hinzuzufügen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore (Explore) die Option IOC Matches (IOC-Übereinstimmungen) aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die folgenden Dimensionen aus: Ioc-Typ und Datum des Ereigniszeitstempels > Datum.
6. Wählen Sie die folgenden Messungen aus: Anzahl.
7. Bewegen Sie den Mauszeiger auf dem Tab In Verwendung auf das Feld Datum/Uhrzeit des Ereignis-Zeitstempels und wählen Sie filter_list Nach Feld filtern aus. Dadurch wird das Feld dem Abschnitt Filter hinzugefügt.
8. Wenden Sie im Bereich Filter die gewünschten Filterbedingungen an.
9. Wählen Sie im Abschnitt Visualisierung das Spaltensymbol aus.

10. Gehen Sie im Abschnitt Daten so vor:

    • Klicken Sie auf die Überschrift Anzahl der IMAP-Übereinstimmungen, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Legen Sie das Zeilenlimit auf einen Wert wie z. B. 50 fest, um die in der Visualisierung angezeigten Zeilen zu begrenzen.

11. Nachdem Sie die Kachel konfiguriert haben, klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit Google Security Operations-Daten anzuzeigen. Die Vorschau wird mit den IOC-Typen nach IOC-Übereinstimmungen mit dem Datum des Ereigniszeitstempels angezeigt.

    Die folgende Abbildung zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.

    

12. Klicken Sie auf Speichern.

Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.

Kachel mit Aufzählungsfeldern erstellen

Das einheitliche Datenmodell von Google Security Operations SIEM enthält mehrere Aufzählungsfelder mit Werten, die sowohl als Text als auch als Zahlen gespeichert sind. Die mit den einzelnen enum-Feldern verknüpften Werte finden Sie in der UDM-Feldliste.

In einigen Explores werden der Textwert und der numerische Wert des enum-Felds in separaten Feldern gespeichert. Für das Feld metadata.event_type ist beispielsweise einer der enum-Werte FILE_CREATION und die zugehörige Nummer 14001.

In einem Explore werden die metadata.event_type-Werte in den folgenden Feldern gespeichert:

• metadata.event_type speichert den numerischen Wert, 14001.
• metadata.event_type_enum_name speichert den Textwert FILE_CREATION.

Wenn Sie einer Kachel ein Aufzählungsfeld hinzufügen, fügen Sie das Feld hinzu, in dem der Textwert statt der Zahl gespeichert ist.

So fügen Sie einem Dashboard eine Kachel mit Aufzählungsfeldern hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Suchen Sie unter Feld suchen nach einem UDM-Feld wie z. B. metadata.event_type.
6. Wählen Sie unter Dimensionen die Optionen metadata.event_type_enum_name und security_result.action_enum_name aus.
7. Wählen Sie unter Messung die Option Anzahl aus.
8. Bewegen Sie auf dem Tab In Verwendung den Mauszeiger auf das Feld security_result.action_enum_name und wählen Sie filter_listNach Feld filtern aus. Daraufhin werden die Filter des ausgewählten Felds im Bereich Filter angezeigt.
9. Wählen Sie im Bereich Filter die Option ist gleich und dann BLOCKIEREN als Werte aus.
10. Wählen Sie im Abschnitt Visualisierung das Symbol Tabelle aus.

11. Gehen Sie im Abschnitt Daten so vor:

    • Klicken Sie auf die Überschrift UDM-Anzahl, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Legen Sie das Zeilenlimit auf einen Wert (z. B. 50) fest, um die in der Visualisierung angezeigten Zeilen zu begrenzen.

12. Klicken Sie auf Run (Ausführen), um eine Vorschau der Visualisierung mit Google Security Operations-Daten anzuzeigen. Die Vorschau wird angezeigt, die die metadata.event_type-Werte nach Anzahl enthält, wobei der security_result.action_enum-Name BLOCK lautet.

    Die folgende Abbildung zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.

    

13. Klicken Sie auf Speichern.

Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.

Pivot in einer Datentabelle verwenden

Mithilfe einer Pivot-Funktion können Sie die Ereignisanzahl für mehrere Dimensionen anzeigen.

Auf der folgenden Kachel wird die Anzahl der Ereignisse für alle Werte in den Feldern metadata.event_type_enum_name und security_result_action_enum_name angezeigt. In diesem Beispiel wird ein Pivot auf das Feld security_result_action_enum_name angewendet.

Führen Sie die folgenden Schritte aus, um diese Datentabelle mit einem Pivot zu erstellen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die Dimensionsfelder metadata.event_type_enum_name und security_result_action_enum_name aus.
6. Wählen Sie das Feld Measure (Messen) Count aus.
7. Erstellen Sie im Bereich Filter die folgenden Filter:
   • UDM metadata_event_timestamp ist in den letzten 2 Stunden.
   • UDM security_result.action_enum_name ist nicht null.
8. Prüfen Sie auf dem Tab In Verwendung, ob die folgenden Felder angezeigt werden. Wenn Angaben fehlen, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
   • metadata.event_timestamp
   • metadata.event_type_enum_name – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Klicken Sie im Abschnitt Daten in der Spaltenüberschrift security_result.action_enum_name auf das Symbol settings und wählen Sie dann Pivot aus.
10. Im Raster wird unter Daten eine neue Zeile angezeigt.
11. Wählen Sie im Abschnitt Visualisierung das Symbol Tabelle aus.
12. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.

In der folgenden Abbildung sehen Sie diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten.

Konfigurationsoptionen für Pivot-Tabellen in einer Datentabelle

Einen Pivot mit Datumsfeldern verwenden, um ein Zeitdiagramm zu erstellen

Sie können einen Pivot mit Datumsfeldern verwenden, um ein Zeitdiagramm zu erstellen. Die folgende Kachel zeigt die stündliche Anzahl von Ereignissen für Werte in den security_result_action_enum_name-Feldern an.

In diesem Beispiel wird ein Pivot auf das Feld security_result_action_enum_name angewendet. Der Filter begrenzt den Datumsbereich und filtert Daten heraus, bei denen der security_result_action_enum_name-Wert null ist. Dabei wird das vordefinierte Datumsfeld metadata.event_timestamp Hour verwendet, mit dem Daten nach Stunde partitioniert werden.

So verwenden Sie einen Pivot mit Datenfeldern:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die Felder der Dimension aus: metadata.event_timestamp Hour und security_result_action_enum_name.
6. Wählen Sie das Feld Measure (Messen) aus: Count.
7. Erstellen Sie im Bereich Filter die folgenden Filter:
   • UDM metadata_event_timestamp ist im Bereich. Wählen Sie dann ein Start- und Enddatum sowie eine Uhrzeit aus.
   • UDM security_result.action_enum_name ist nicht null.
8. Prüfen Sie auf dem Tab In Verwendung, ob die folgenden Felder angezeigt werden. Wenn Angaben fehlen, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Klicken Sie im Abschnitt Daten in der Spaltenüberschrift security_result.action_enum_name auf das Symbol settings und wählen Sie dann Pivot aus. Im Datenraster wird eine neue Zeile angezeigt.
10. Wählen Sie im Abschnitt Visualisierung das Symbol Tabelle aus.
11. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.

In der folgenden Abbildung sehen Sie diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten.

Konfigurationsoptionen für Pivot in einem Datumsfeld

Diagramm mit detaillierten Zeitstempelmesswerten erstellen

Sie können ein Diagramm mit der Ereignisanzahl für jeden Logtyp zusammen mit dem Zeitstempel des ältesten (min) und neuesten (max) Ereignisses erstellen. In diesem Diagramm wird der Logtyp anhand des Felds metadata.product_name ermittelt.

Führen Sie die folgenden Schritte aus, um ein Diagramm mit den Zeitstempeln min oder max zu erstellen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.

2. Klicken Sie auf Hinzufügen > Visualisierung.

3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.

4. Geben Sie einen Kachelnamen ein.

5. Wählen Sie das Feld Dimension aus: metadata.product_name.

6. Wählen Sie die Felder Messen aus: Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date.

7. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung anzuzeigen. Die Vorschau wird mit den Werten metadata.event_timestamp (min) Date und metadata.event_timestamp (max) Date im Datumsformat angezeigt.

8. Klicken Sie auf Speichern. Die Seite Dashboards wird mit dem neu hinzugefügten Diagramm angezeigt. Das Diagramm enthält die Spalten metadata.product_name, UDM, metadata.event_timestamp (Min. Datum) und metadata.event_timestamp (max) Datum mit Werten.