Einem Dashboard eine Diagrammvisualisierung hinzufügen
Wenn Sie einem Dashboard ein Diagramm oder eine andere Visualisierung hinzufügen möchten, verwenden Sie eine Visualisierungskachel. Auf der Visualisierungskachel werden Daten aus der zugehörigen LookML-Ansicht (Explore) angezeigt, die Sie beim Erstellen der Kachel auswählen. In diesem Dokument wird Folgendes beschrieben:
- So erstellen Sie Diagramme und andere Visualisierungen mit der Visualisierungskachel.
- So erstellen Sie Datenvisualisierungen, die für bestimmte Anwendungsfälle geeignet sind.
Ablauf
So erstellen Sie eine Visualisierung in einem Dashboard:
- Fügen Sie dem Dashboard eine Visualisierungskachel hinzu.
- Wählen Sie das Explore aus. Ein Explore ist ein Ausgangspunkt für die neue Kachel und stellt ein bestimmtes Datenmodell dar.
- Wählen Sie Datenfelder für die Visualisierung aus. Vordefinierte Felder sind in einen der folgenden Typen gruppiert:
- Dimensionen: Attribute der Daten, die Daten beschreiben. Beispiel: Die Grundfläche und das Baumaterial eines Museums sind unterschiedliche Dimensionen in einem Museumsdatensatz.
- Ergebnisse: Numerische Darstellung einer oder mehrerer Dimensionen oder eines eindeutigen Attributs der Daten, z. B. „Anzahl“ oder „Durchschnitt“.
- Nur-Filter-Felder: vordefinierte Felder, die nur in einem Filter verwendet werden können.
- Optional können Sie benutzerdefinierte Felder erstellen und der Kachel hinzufügen, die einen bestimmten Anwendungsfall unterstützen.
- Konfigurieren Sie die Kachel, indem Sie Folgendes auswählen:
- Visualisierung: Die ausgewählten Felder werden visuell dargestellt. Ein Liniendiagramm kann beispielsweise Trends im Zeitverlauf zeigen.
- Filter: Mit Filtern können Sie die Visualisierung so einschränken, dass nur die Daten angezeigt werden, die für Sie von Interesse sind. Mit jedem Feld in einem Explore können Sie einen Filter erstellen.
- Führen Sie die Visualisierung aus, um eine Vorschau der Ergebnisse zu erhalten.
- Speichern Sie die Visualisierungskachel.
In den folgenden Abschnitten dieses Dokuments finden Sie ausführlichere Informationen zur Konfiguration der einzelnen Komponenten in einer Visualisierungskachel.
Beispiel: Datentabelle erstellen
In den folgenden Schritten erfahren Sie mehr darüber, wie Sie eine Datentabelle mithilfe einer Visualisierungskachel erstellen. Außerdem werden die Konfigurationsoptionen im Dialogfeld Kachel bearbeiten angezeigt.
- Wählen Sie unter Persönliche Dashboards oder Gemeinsam genutzte Dashboards ein Dashboard aus und klicken Sie dann auf Dashboard-Aktionen > Dashboard bearbeiten.
- Klicken Sie auf Hinzufügen > Visualisierung.
- Wählen Sie ein Explore-Datenmodell aus. Das Dialogfeld Kachel bearbeiten wird angezeigt.
- Geben Sie einen eindeutigen Kachelnamen ein.
- Wählen Sie unter Alle Felder die vordefinierten Felder aus: Dimensionen und Messwerte. Normalerweise müssen Sie mindestens zwei Felder auswählen, um eine Visualisierung zu erstellen. Die ausgewählten Felder werden im Bereich Daten angezeigt.
- Optional: Erstellen und fügen Sie alle für die Visualisierung erforderlichen benutzerdefinierten Felder hinzu. Sie werden im Bereich Daten angezeigt.
- Wählen Sie im Bereich Visualisierung Tabelle als Visualisierungstyp aus. In der Visualisierung werden die ausgewählten Datenfelder in der Tabelle angezeigt.
- Definieren Sie im Bereich Filter Filter, mit denen die Visualisierung auf die gewünschten Daten beschränkt wird. Mit jedem Feld in einem Explore können Sie einen Filter erstellen.
- Führen Sie im Bereich Daten die folgenden Schritte aus:
- Klicken Sie auf Explore-Feldüberschrift, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
- Mit Zeilenlimit können Sie die Anzahl der Zeilen in der Visualisierung begrenzen.
- Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit SIEM-Daten von Google Security Operations aufzurufen.
- Klicken Sie auf Speichern. Das Dashboard wird mit der neu hinzugefügten Kachel angezeigt.
Auf der folgenden Abbildung ist der Bereich im Dialogfeld Kachel bearbeiten zu sehen, in dem Sie diese Schritte ausführen.
Dialogfeld zum Bearbeiten von Kacheln mit Konfiguration
Datenmodell für Explore auswählen
Google Security Operations SIEM bietet mehrere Datenmodelle, mit denen Sie ein Dashboard erstellen können. Jedes Datenmodell ist ein Looker-Explore, das eine Teilmenge der UDM-Felder definiert.
Ein Explore ist der Ausgangspunkt beim Erstellen einer neuen Visualisierungskachelle. Sie ist für die explorative Datenanalyse konzipiert. Für jede Visualisierungskachele wählen Sie ein Explore für das Datenmodell aus.
Google Security Operations SIEM bietet die folgenden Datenmodell-Explores:
- Entitätsgraph
- IOC-Übereinstimmungen
- Messwert für die Datenaufnahme mit Aufnahmestatistiken
- Messwerte für die Datenaufnahme
- Aufnahmestatistiken
- Regelerkennungen
- Regelsätze mit Erkennungen
- UDM-Ereignisse
- UDM-Ereignisse – zusammengefasst
Optional können Sie benutzerdefinierte Felder erstellen, die nur für die Kachel verwendet werden, in der sie erstellt wurden.
Felder für die Diagrammvisualisierung auswählen
Nachdem Sie die explorative Datenanalyse für eine Kachel ausgewählt haben, werden die vordefinierten UDM-Felder im Dialogfeld Expl. Datenanalyse auf dem Tab Alle Felder angezeigt.
Nachdem Sie Felder auf dem Tab Alle Felder ausgewählt haben, werden sie sowohl auf dem Tab In Verwendung als auch im Bereich Daten angezeigt. In den folgenden Unterabschnitten werden die Feldtypen beschrieben, die Sie für die Erstellung einer Diagrammvisualisierung auswählen können.
Vordefinierte Felder
Jede explorative Datenanalyse enthält eine andere Gruppe von vordefinierten UDM-Feldern. Die in der Kachel verfügbaren vordefinierten Felder sind spezifisch für das Datenmodell, das Sie im Dialogfeld Explore auswählen auswählen.
Vordefinierte Felder sind in die folgenden Typen unterteilt:
- Dimensionen
- Messungen
- Nur-Filter-Felder
Die Symbole neben den einzelnen Feldern liefern mehr Informationen und geben die für das betreffende Feld verfügbaren Optionen an, z. B. Nach Feld filtern, Daten pivotieren, Aggregieren, Bin oder Gruppen. Klicken Sie auf das Symbol Info, um den Hilfetext für das Feld aufzurufen. Diese Symbole sind sichtbar, wenn Sie den Mauszeiger auf ein Feld bewegen. Weitere Informationen finden Sie unter Feldspezifische Informationen und Aktionen.
Mit vordefinierten Feldern können Sie benutzerdefinierte Dimensionen, benutzerdefinierte Messwerte und Tabellenkalkulationen erstellen und Filter auf die Kachel anwenden.
Eine explorative Datenanalyse kann nicht mehr unterstützte Felder enthalten. Eingestellte Felder sind durch einen Feldnamen gefolgt von [D] gekennzeichnet.
Bestimmte Datenmodelle enthalten vordefinierte Nur-Filter-Felder, die nur in einem Filter verwendet werden können. Die Nur-Filter-Felder in einem Datenmodell können einen oder mehrere der folgenden Feldtypen enthalten:
Einige Explore-Datenmodelle wie UDM-Ereignisse enthalten detailliertere Messwerte für Felder, in denen ein Zeitstempel gespeichert ist (z. B. principal.artifact.first_seen_time
und security_result.about.file.last_modification_time
).
Diese Messwerte unterteilen den Zeitstempel in detailliertere Intervalle wie Stunde, Tag, Woche oder Jahr. Das Modell enthält außerdem ein Minimum und ein Maximum für jedes Intervall. So können Sie detailliertere Diagramme erstellen, in denen die Ereignisanzahl basierend auf Zeit und Zeitintervallen zusammengefasst wird.
Benutzerdefinierte Felder
Benutzerdefinierte Felder sind Felder, die Sie mithilfe der vordefinierten Felder im Datenmodell für die Kachel erstellen. Die benutzerdefinierten Felder können nur in dieser Kachel verwendet werden.
Sie können folgende Arten von benutzerdefinierten Feldern erstellen:
- Benutzerdefinierte Dimensionen
- Benutzerdefinierte Messwerte
- Ausdrücke für benutzerdefinierte Tabellen
Klicken Sie im Dialogfeld Kachel bearbeiten unter Alle Felder > Benutzerdefinierte Felder auf + Hinzufügen, um das Menü für benutzerdefinierte Felder aufzurufen. Die folgende Abbildung zeigt die Position des Menüs.
Benutzerdefinierte Dimension erstellen
Benutzerdefinierte Dimensionen sind eindeutige Attribute, mit denen Sie Daten beschreiben können. Eine benutzerdefinierte Dimension kann beispielsweise die Koncatenate aus dem Vor- und Nachnamen eines Nutzers sein.
So fügen Sie einer Kachel benutzerdefinierte Dimensionen hinzu:
- Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
- Öffnen Sie eine Kachel zum Bearbeiten.
- Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen > Benutzerdefinierte Dimension. Das Dialogfeld Benutzerdefinierte Dimension erstellen wird angezeigt.
- Führen Sie im Dialogfeld Benutzerdefinierte Dimension erstellen die folgenden Schritte aus:
- Geben Sie in das Feld Ausdruck einen Looker-Ausdruck ein, der den Wert mithilfe einer Looker-Funktion und eines Looker-Operators definiert.
Der Looker-Ausdruckseditor schlägt Feldnamen vor und zeigt Syntaxhilfe für alle verwendeten Funktionen an.
Hier einige Beispiele:
- Verkettung des IOC-Feed-Namens und des IOC-Werts.
Dieses Beispiel kann nur im explorativen Analysetool IOC-Spiele verwendet werden.
concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
- Gibt den ersten Wert zurück, der nicht leer ist.
Die Reihenfolge ist Hostname und dann IP-Adresse. Wenn keines dieser Elemente vorhanden ist, wird
_
angezeigt. Dieses Beispiel kann nur im explorativen Analysetool Entitätsgraph verwendet werden.coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
- Verkettung des IOC-Feed-Namens und des IOC-Werts.
Dieses Beispiel kann nur im explorativen Analysetool IOC-Spiele verwendet werden.
- Wählen Sie im Menü Format ein Format aus.
- Geben Sie im Feld Name den Namen der benutzerdefinierten Dimension ein. Dieser Wert wird auf dem Tab Alle Felder und in der Tabelle Daten angezeigt.
- Wähle + Beschreibung hinzufügen aus, um im Feld Beschreibung eine Beschreibung hinzuzufügen.
- Klicken Sie auf Speichern.
- Geben Sie in das Feld Ausdruck einen Looker-Ausdruck ein, der den Wert mithilfe einer Looker-Funktion und eines Looker-Operators definiert.
Der Looker-Ausdruckseditor schlägt Feldnamen vor und zeigt Syntaxhilfe für alle verwendeten Funktionen an.
Hier einige Beispiele:
Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie eine benutzerdefinierte Dimension auswählen, um sie der Kachel hinzuzufügen oder daraus zu entfernen.
Benutzerdefinierte Messwerte erstellen
Messwerte sind eine numerische Darstellung einer oder mehrerer Dimensionen (oder eindeutiger Attribute der Daten), z. B. eine Anzahl oder ein Durchschnitt. Mithilfe von Ergebnissen können Sie Leistungskennzahlen (KPIs) berechnen und Daten anhand verschiedener aggregierter Attribute analysieren.
Mit benutzerdefinierten Messwerten können Sie eine bestimmte numerische Berechnung für ein Feld definieren. Je nach Feldtyp sind nur bestimmte Messwerte verfügbar.
So fügen Sie einer Kachel einen benutzerdefinierten Messwert hinzu:
- Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
- Öffnen Sie eine Kachel zum Bearbeiten.
- Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen und wählen Sie Benutzerdefiniertes Messwert aus. Das Dialogfeld Benutzerdefiniertes Messwert erstellen wird angezeigt.
Führen Sie im Dialogfeld Benutzerdefiniertes Messwert erstellen die folgenden Schritte aus:
- Wählen Sie im Menü Feld für die Messung ein Feld aus.
- Wählen Sie im Menü Messtyp einen Messtyp aus.
- Geben Sie in das Feld Name einen Namen ein. Der Name wird in der Feldauswahl und in der Datentabelle angezeigt.
Führen Sie auf dem Tab Filter folgende Schritte aus:
- Wenn Sie eine Filterbedingung hinzufügen möchten, wählen Sie im Menü Filtername ein Feld aus. Mit den Schaltflächen und Filterwert können Sie Filterbedingungen hinzufügen oder entfernen.
- Klicken Sie auf den Pfeil neben Benutzerdefinierter Filter, um einen Benutzerdefinierten Filter-Ausdruck mit beliebigen Looker-Funktionen und -Operatoren zu erstellen, die in benutzerdefinierten Filtern verwendet werden können. Der Looker-Ausdruckseditor schlägt Feldnamen vor und zeigt Syntaxhilfe für alle verwendeten Funktionen an.
Hier einige Beispiele:
- Misst IOC-Feedprotokolle auf eindeutige Werte.
Dieses Beispiel kann nur im explorativen Analysetool IOC-Spiele verwendet werden.
${ioc_matches.feed_log_type} != ""
- Gemessene IOC-Tages-Bucket-Sekunden:
${ioc_matches.day_bucket_seconds}
- Misst IOC-Feedprotokolle auf eindeutige Werte.
Dieses Beispiel kann nur im explorativen Analysetool IOC-Spiele verwendet werden.
Führen Sie auf dem Tab Felddetails die folgenden Schritte aus:
- Wählen Sie im Menü Format ein Format aus.
- Optional können Sie im Feld Beschreibung eine Beschreibung mit bis zu 255 Zeichen hinzufügen, um anderen Nutzern zusätzliche Informationen zum benutzerdefinierten Feld zur Verfügung zu stellen.
Klicken Sie auf Speichern.
Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie das benutzerdefinierte Feld auswählen, das der Kachel hinzugefügt werden soll.
Benutzerdefinierte Tabellenkalkulation erstellen
Mit Tabellenkalkulationen können Sie Ad-hoc-Kennzahlen erstellen. Sie sind mit Formeln in Tabellenkalkulationstools wie Google Tabellen vergleichbar.
In Google Security Operations haben Sie die Möglichkeit, einer Kachel benutzerdefinierte Berechnungen hinzuzufügen. Diese benutzerdefinierten Tabellenkalkulationen werden mit Looker-Ausdrücken erstellt. Sie können Tabellenkalkulationen nur mit Feldern im Explore erstellen.
So erstellen Sie eine Tabellenberechnung und fügen sie einer Kachel hinzu:
- Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
- Öffnen Sie eine Kachel zum Bearbeiten.
- Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen > Tabellenkalkulation. Das Dialogfeld Tabellenkalkulation erstellen wird angezeigt.
- Führen Sie im Dialogfeld Tabellenberechnung erstellen die folgenden Schritte aus:
- Wählen Sie im Menü Berechnung einen Berechnungstyp aus. Die Optionen für einen benutzerdefinierten Ausdruck werden standardmäßig angezeigt.
- Geben Sie einen Looker-Ausdruck in das Feld ein, um eine Berechnung zu definieren.
Hier einige Beispiele für Ausdrucke für Tabellenberechnungen:
- Im folgenden Ausdruck wird die Funktion
diff hours
verwendet, um die Differenz zwischen zwei Zeitstempeln anzugeben. Dieses Beispiel kann nur in der explorativen Datenanalyse Regelerkennungen verwendet werden.diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
- Im folgenden Ausdruck werden die IOC-Werte gezählt. Dieses Beispiel kann nur im explorativen Analysetool IOC-Spiele verwendet werden.
count(${ioc_matches.ioc_value})
- Im folgenden Ausdruck wird die Funktion
- Wählen Sie im Menü Format ein Format aus.
- Geben Sie in das Feld Name einen Namen für die Berechnung ein.
- Wählen Sie + Beschreibung hinzufügen aus, um optional eine Beschreibung hinzuzufügen, die anderen Nutzern mehr Kontext zur Tabellenkalkulation bietet.
- Klicken Sie auf Speichern.
Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie das benutzerdefinierte Berechnungsfeld auswählen, um es der Kachel hinzuzufügen oder daraus zu entfernen.
Typ der Visualisierung auswählen
Mithilfe von Visualisierungen werden die Daten visuell dargestellt, damit Sie Anomalien und Trends leichter erkennen können. Das SIEM-Dashboard von Google Security Operations basiert auf Looker-Technologie, einschließlich Looker-Visualisierungen.
In den SIEM-Dashboards von Google Security Operations können Sie die folgenden Visualisierungstypen verwenden:
- Optionen für Säulendiagramme
- Optionen für Balkendiagramme
- Optionen für Streudiagramme
- Optionen für Liniendiagramme
- Optionen für Flächendiagramme
- Optionen für Boxplot-Diagramme
- Optionen für Wasserfalldiagramme
- Optionen für Kreisdiagramme
- Optionen für Diagramme vom Typ „Mehrere Ringdiagramme“
- Optionen für Trichterdiagramme
- Optionen für Zeitachsendiagramme
- Optionen für Diagramme mit Einzelwerten
- Diagrammoptionen für einzelne Datensätze
- Optionen für Tabellendiagramme
- Tabellendiagrammoptionen (alt)
- Optionen für Wortwolkendiagramme
- Diagrammoptionen in Google Maps
- Optionen für Kartendiagramme
- Diagrammoptionen für „Statische Karte (Regionen)“
- Diagrammoptionen für „Statische Karte (Punkte)“
Über die Schaltfläche Ausführen im Dialogfeld Kachel bearbeiten können Sie eine Vorschau mit den ausgewählten Feldern und dem Visualisierungstyp anzeigen. Klicken Sie auf Ausführen, um die Vorschau nach dem Anpassen und Ändern der Kachelkonfiguration zu aktualisieren.
Felder auswählen, die als Filter verwendet werden sollen
Mit Filtern können Sie die in der Visualisierung angezeigten Daten auf Elemente beschränken, die für Sie von Interesse sind. Filter werden mithilfe von Feldern im Datenmodell des Explores erstellt.
Das SIEM-Dashboard von Google Security Operations basiert auf Looker-Technologie, einschließlich Looker-Filtern. In einer Kachel können Sie die folgenden Arten von Filtern erstellen:
- Standardfilter werden mit vordefinierten oder benutzerdefinierten Feldern erstellt. Definieren Sie diese Filter im Bereich Filter des Dialogfelds Kachel bearbeiten.
- Benutzerdefinierte Filter mit Looker-Ausdrücken: Sie können detaillierte Geschäftslogik angeben,
AND
- undOR
-Logik kombinieren oder Looker-Funktionen verwenden. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Filter auf die Schaltfläche Benutzerdefinierter Ausdruck.
Bestimmte vordefinierte Felder können in einem Filter verwendet werden. Diese Felder werden nur dann im Bereich Alle Felder angezeigt, wenn das Datenmodell vordefinierte Nur-Filter-Felder enthält.
So fügen Sie einer Kachel einen Filter hinzu:
- Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
- Öffnen Sie eine Kachel zum Bearbeiten.
- Wählen Sie unter Alle Felder die Felder aus, die Sie als Filter verwenden möchten. Klicken Sie dazu neben jedem Feldnamen auf Nach Feld filtern.
Im Bereich Filter haben Sie folgende Möglichkeiten:
- Definieren Sie die Filterbedingungen für jedes Feld, das im Bereich Filter aufgeführt ist.
- Klicken Sie auf Benutzerdefinierter Ausdruck und fügen Sie Werte in das Feld Benutzerdefinierter Filter ein.
Klicken Sie auf Ausführen, um die Visualisierungsvorschau zu aktualisieren.
Beispiele zur Lösung bestimmter Anwendungsfälle
In den folgenden Abschnitten wird beschrieben, wie Sie Visualisierungen erstellen, die bestimmte Anwendungsfälle unterstützen.
Kachel mit IOC-Typen erstellen
So fügen Sie dem Dashboard eine Kachel hinzu, um IOC-Typen zu überwachen:
- Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
- Klicken Sie auf Hinzufügen > Visualisierung.
- Wählen Sie im Dialogfeld Explore auswählen die Option IOC-Spiele aus.
- Geben Sie einen Kachelnamen ein.
- Wählen Sie die folgenden Dimensionen aus: Ioc-Typ und Datum des Ereigniszeitstempels > Datum.
- Wählen Sie die folgenden Messwerte aus: Anzahl.
- Bewegen Sie den Mauszeiger auf dem Tab In Verwendung auf das Feld Datum des Ereigniszeitstempels und wählen Sie dann Nach Feld filtern aus. Das Feld wird dem Bereich Filter hinzugefügt.
- Wenden Sie im Bereich Filter die gewünschten Filterbedingungen an.
- Wählen Sie im Bereich Visualisierung das Symbol Spalte aus.
Führen Sie im Bereich Daten folgende Schritte aus:
- Klicken Sie auf die Überschrift Anzahl der IOC-Übereinstimmungen, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
- Legen Sie für Zeilenlimit einen Wert fest, z. B. 50, um die Anzahl der Zeilen in der Visualisierung zu begrenzen.
Klicken Sie nach der Konfiguration der Kachel auf Ausführen, um eine Vorschau der Visualisierung mit Google Security Operations-Daten aufzurufen. Die Vorschau wird mit den IOC-Typen angezeigt, die mit dem Datum des Ereigniszeitstempels übereinstimmen.
Das folgende Bild zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.
Klicken Sie auf Speichern.
Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.
Kachel mit aufgezählten Feldern erstellen
Das einheitliche Datenmodell von Google Security Operations SIEM enthält mehrere aufgezählte Felder mit Werten, die sowohl als Text als auch als Zahlen gespeichert werden. Die mit den einzelnen enum-Feldern verknüpften Werte finden Sie in der Liste der UDM-Felder.
In einigen explorativen Datenanalysen werden der Textwert und der numerische Wert des enum-Felds in separaten Feldern gespeichert. Beispiel: Für das Feld metadata.event_type
ist einer der Werte des Enumerationstyps FILE_CREATION
und die zugehörige Zahl ist 14001.
In einem Explore werden die metadata.event_type
-Werte in den folgenden Feldern gespeichert:
metadata.event_type
speichert den numerischen Wert 14001.- In
metadata.event_type_enum_name
wird der TextwertFILE_CREATION
gespeichert.
Wenn Sie einer Kachel ein Feld mit einer Aufzählung hinzufügen, fügen Sie das Feld hinzu, in dem der Textwert gespeichert ist, und nicht die Zahl.
So fügen Sie einem Dashboard eine Kachel mit aufgezählten Feldern hinzu:
- Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
- Klicken Sie auf Hinzufügen > Visualisierung.
- Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
- Geben Sie einen Kachelnamen ein.
- Suchen Sie unter Feld suchen nach einem UDM-Feld, z. B.
metadata.event_type
. - Wählen Sie unter Dimensionen die Optionen metadata.event_type_enum_name und security_result.action_enum_name aus.
- Wählen Sie unter Messwerte die Option Anzahl aus.
- Halten Sie auf dem Tab In Verwendung den Mauszeiger auf das Feld security_result.action_enum_name und wählen Sie dann Nach Feld filtern aus. Dadurch werden die Filter des ausgewählten Felds im Bereich Filter angezeigt.
- Wählen Sie im Bereich Filter die Option ist gleich und dann BLOCK als Werte aus.
- Klicken Sie im Bereich Visualisierung auf das Symbol Tabelle.
Führen Sie im Bereich Daten folgende Schritte aus:
- Klicken Sie auf die Überschrift UDM-Anzahl, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
- Legen Sie für Zeilenlimit einen Wert fest (z. B. 50), um die Anzahl der Zeilen in der Visualisierung zu begrenzen.
Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit Google Security Operations-Daten aufzurufen. In der Vorschau werden die Werte für metadata.event_type nach Zählung angezeigt, wobei der Name security_result.action_enum BLOCK ist.
Das folgende Bild zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.
Klicken Sie auf Speichern.
Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.
Pivot-Tabelle in einer Datentabelle verwenden
Mit einem Pivot-Diagramm können Sie Ereigniszahlen für mehrere Dimensionen anzeigen.
In der folgenden Kachel sehen Sie die Ereignisanzahl nach Werten in den Feldern metadata.event_type_enum_name
und security_result_action_enum_name
.
In diesem Beispiel wird auf das Feld security_result_action_enum_name
eine Pivot-Tabelle angewendet.
Führen Sie die folgenden Schritte aus, um diese Datentabelle mit einer Pivot-Tabelle zu erstellen:
- Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
- Klicken Sie auf Hinzufügen > Visualisierung.
- Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
- Geben Sie einen Kachelnamen ein.
- Wählen Sie die Dimensionsfelder
metadata.event_type_enum_name
undsecurity_result_action_enum_name
aus. - Wählen Sie das Feld Messwert
Count
aus. - Erstellen Sie im Bereich Filter die folgenden Filter:
UDM metadata_event_timestamp
in den letzten 2 Stunden.UDM security_result.action_enum_name
ist nicht null.
- Prüfen Sie auf dem Tab In Verwendung, ob die folgenden Felder angezeigt werden. Wenn etwas fehlt, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
metadata.event_timestamp
metadata.event_type_enum_name
–metadata
security_result_action_enum_name
–security_result
Count
- Klicken Sie im Bereich Daten in der Spaltenüberschrift
security_result.action_enum_name
auf das Symbol und wählen Sie dann Pivot aus. - Im Raster unter Daten wird eine neue Zeile angezeigt.
- Klicken Sie im Bereich Visualisierung auf das Symbol Tabelle.
- Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.
Die folgende Abbildung zeigt diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten.
Konfigurationsoptionen für Pivot-Tabellen in einer Datentabelle
Pivot-Tabelle mit Datumsfeldern für ein Zeitdiagramm verwenden
Mit einem Pivot-Diagramm mit Datumsfeldern können Sie ein Zeitdiagramm erstellen. Auf der folgenden Kachel werden die stündlichen Ereigniszahlen für Werte in den security_result_action_enum_name
-Feldern angezeigt.
In diesem Beispiel wird auf das Feld security_result_action_enum_name
eine Pivot-Tabelle angewendet.
Der Filter schränkt den Zeitraum ein und filtert Daten heraus, bei denen der Wert für security_result_action_enum_name
null
ist. Dabei wird das vordefinierte Datumsfeld metadata.event_timestamp Hour
verwendet, das Daten nach Stunde partitioniert.
So verwenden Sie eine Pivot-Tabelle mit Datenfeldern:
- Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
- Klicken Sie auf Hinzufügen > Visualisierung.
- Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
- Geben Sie einen Kachelnamen ein.
- Wählen Sie die Felder Dimension aus:
metadata.event_timestamp Hour
undsecurity_result_action_enum_name
. - Wählen Sie das Feld Messwert aus:
Count
. - Erstellen Sie im Bereich Filter die folgenden Filter:
UDM metadata_event_timestamp
liegt im Zeitraum aus und wählen Sie dann ein Start- und Enddatum sowie eine Uhrzeit aus.UDM security_result.action_enum_name
ist nicht null.
- Prüfen Sie auf dem Tab In Verwendung, ob die folgenden Felder angezeigt werden. Wenn etwas fehlt, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
metadata.event_timestamp
metadata.event_timestamp Hour
–metadata
security_result_action_enum_name
–security_result
Count
- Klicken Sie im Bereich Daten in der Spaltenüberschrift
security_result.action_enum_name
auf das Symbol und wählen Sie dann Pivot aus. Im Datenraster wird eine neue Zeile angezeigt. - Klicken Sie im Bereich Visualisierung auf das Symbol Tabelle.
- Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.
Die folgende Abbildung zeigt diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten.
Konfigurationsoptionen für Pivot-Tabellen in einem Datumsfeld
Diagramm mit detaillierten Zeitstempelmesswerten erstellen
Sie können ein Diagramm mit Ereignisanzahlen für jeden Protokolltyp sowie dem ältesten (min
) und dem neuesten (max
) Ereigniszeitstempel erstellen. In diesem Diagramm wird der Logtyp anhand des Felds metadata.product_name
identifiziert.
So erstellen Sie ein Diagramm mit min
- oder max
-Zeitstempeln:
Öffnen Sie ein vorhandenes Dashboard zur Bearbeitung oder erstellen Sie ein neues Dashboard.
Klicken Sie auf Hinzufügen > Visualisierung.
Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
Geben Sie einen Kachelnamen ein.
Wählen Sie das Feld Dimension aus:
metadata.product_name
.Wählen Sie die Felder Messwert aus:
Count
,metadata.event_timestamp (min) Date
undmetadata.event_timestamp (max) Date
.Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen. In der Vorschau werden die Werte
metadata.event_timestamp (min) Date
undmetadata.event_timestamp (max) Date
im Datumsformat angezeigt.Klicken Sie auf Speichern. Die Seite Dashboards wird mit dem neu hinzugefügten Diagramm angezeigt. Das Diagramm enthält die Spalten metadata.product_name, UDM, metadata.event_timestamp (min) Date und metadata.event_timestamp (max) Date mit Werten.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten