Aggiungere una visualizzazione grafico a una dashboard

Per aggiungere un grafico o un'altra visualizzazione a una dashboard, utilizza un riquadro di visualizzazione. Il riquadro di visualizzazione mostra i dati della vista LookML associata, denominata Esplorazione, che selezioni durante la creazione del riquadro. In questo documento vengono descritte le seguenti informazioni:

• Come creare grafici e altre visualizzazioni utilizzando il riquadro di visualizzazione.
• Come creare visualizzazioni di dati che soddisfino casi d'uso specifici.

Panoramica del processo

A livello generale, esegui le seguenti azioni per creare una visualizzazione in una dashboard:

1. Aggiungi un riquadro di visualizzazione alla dashboard.
2. Seleziona Esplora. Un'esplorazione è il punto di partenza per il nuovo riquadro e rappresenta un modello dei dati specifico.
3. Seleziona i campi di dati per la visualizzazione. I campi predefiniti sono raggruppati in uno dei seguenti tipi:
   • Dimensioni: attributi dei dati che descrivono i dati. Esempio: la metratura e il materiale da costruzione di un museo sono dimensioni diverse all'interno di un set di dati del museo.
   • Misure: rappresentazione numerica di una o più dimensioni o attributo univoco dei dati, come conteggio o media.
   • Campi solo con filtro: campi predefiniti che possono essere utilizzati solo in un filtro.
4. Facoltativamente, crea e aggiungi campi personalizzati al riquadro che supportano un caso d'uso specifico.
5. Configura il riquadro selezionando quanto segue:
   • Visualizzazione: mostra visivamente i campi selezionati. Ad esempio, un grafico a linee può mostrare le tendenze nel tempo.
   • Filtri: limita la visualizzazione per mostrare solo i dati che ti interessano. Qualsiasi campo di un'esplorazione può essere utilizzato per creare un filtro.
6. Esegui la visualizzazione per visualizzare l'anteprima dei risultati.
7. Salva il riquadro di visualizzazione.

Le seguenti sezioni di questo documento forniscono informazioni più dettagliate su come configurare ogni componente in un riquadro di visualizzazione.

Esempio: creare una tabella di dati

I passaggi seguenti forniscono ulteriori dettagli su come creare una tabella di dati utilizzando un riquadro di visualizzazione e mostrano le opzioni di configurazione nella finestra di dialogo Modifica riquadro.

1. Da Dashboard personali o Dashboard condivise, seleziona una dashboard, quindi fai clic su more_vert Azioni dashboard > Modifica dashboard.
2. Fai clic su Aggiungi > Visualizzazione.
3. Seleziona un modello dei dati Esplora. Viene visualizzata la finestra di dialogo Modifica riquadro.
4. Inserisci un nome univoco per il riquadro.
5. In Tutti i campi, seleziona i campi predefiniti: Dimensioni e Misurazioni. In genere, devi scegliere almeno due campi per creare una visualizzazione. I campi selezionati vengono visualizzati nella sezione Dati.
6. Se vuoi, crea e aggiungi eventuali campi personalizzati necessari per la visualizzazione. Saranno visualizzati nella sezione Dati.
7. Nella sezione Visualizzazione, seleziona Tabella come tipo di visualizzazione. La visualizzazione mostra i campi di dati selezionati nella tabella.
8. Nella sezione Filtri, definisci i filtri che limitano la visualizzazione per mostrare solo i dati che ti interessano. Qualsiasi campo di un'esplorazione può essere utilizzato per creare un filtro.
9. Nella sezione Dati, segui questi passaggi:
   • Fai clic su Esplora intestazione campi per ordinare i campi in ordine crescente o decrescente.
   • Imposta Limite righe per limitare il numero di righe che compaiono nella visualizzazione.
10. Fai clic su Esegui per visualizzare l'anteprima della visualizzazione utilizzando i dati SIEM di Google Security Operations.
11. Fai clic su Salva. Viene visualizzata la Dashboard con il riquadro appena aggiunto.

L'immagine seguente identifica la posizione in cui esegui questi passaggi nella finestra di dialogo Modifica riquadro.

Finestra di dialogo Modifica riquadro con configurazione

Scegli un modello dei dati Esplora

Google Security Operations SIEM fornisce diversi modelli di dati che puoi utilizzare per creare una dashboard. Ogni modello dei dati è un'esplorazione di Looker che definisce un sottoinsieme di campi UDM.

Un'esplorazione è il punto di partenza per la creazione di un nuovo riquadro di visualizzazione. È progettato per esplorare un determinato modello dei dati. Selezioni un'esplorazione del modello dei dati per ogni riquadro di visualizzazione.

Google Security Operations SIEM fornisce le seguenti esplorazioni dei modello dei dati:

• Grafico entità
• Corrispondenze IOC
• Metrica relativa all'importazione con statistiche sull'importazione
• Metriche di importazione
• Statistiche sull'importazione
• Rilevamenti regole
• Set di regole con rilevamenti
• Eventi UDM
• Aggregati di eventi UDM

Facoltativamente, puoi creare campi personalizzati da utilizzare solo con il riquadro in cui sono stati creati.

Seleziona i campi per la visualizzazione del grafico

Dopo aver selezionato Esplora per un riquadro, i campi UDM predefiniti vengono visualizzati nella scheda Tutti i campi della finestra di dialogo Esplora.

Dopo aver selezionato i campi dalla scheda Tutti i campi, vengono visualizzati sia nella scheda In uso sia nella sezione Dati. Le seguenti sottosezioni descrivono i tipi di campi in cui puoi scegliere per creare una visualizzazione grafico.

Campi predefiniti

Ogni esplorazione include un insieme diverso di campi UDM predefiniti. I campi predefiniti disponibili nel riquadro sono specifici per il modello dei dati selezionato nella finestra di dialogo Scegli un'esplorazione.

I campi predefiniti sono raggruppati nei seguenti tipi:

• Dimensioni
• Misure
• Campi solo con filtri

Le icone accanto a ogni campo mostrano ulteriori informazioni e indicano le opzioni disponibili, ad esempio Filtra per campo, Dati pivot, Aggrega, Cestino o Gruppo. Fai clic sull'icona Informazioni per visualizzare il testo della guida relativo al campo. Queste icone sono visibili quando tieni il puntatore sopra un campo. Per saperne di più, consulta Informazioni e azioni specifiche sul campo.

Puoi utilizzare i campi predefiniti per creare dimensioni personalizzate, misure personalizzate, calcoli tabulari e applicare filtri al riquadro.

Un'esplorazione potrebbe includere campi deprecati che non sono più supportati. I campi deprecati sono identificati da un nome di campo seguito da [D].

Alcuni modelli di dati includono campi Solo filtro predefiniti che possono essere utilizzati solo in un filtro. I campi con solo filtri in un modello dei dati possono includere uno o più dei seguenti tipi di campi:

• Campi UDM singoli
• Campi UDM raggruppati

Alcuni modelli dei dati di Esplora, come gli eventi UDM, includono misure più granulari per i campi che archiviano un timestamp (ad esempio, principal.artifact.first_seen_time e security_result.about.file.last_modification_time).

Queste misure separano il timestamp in incrementi più granulari, ad esempio ora, giorno, settimana o anno. Il modello fornisce anche una misura minima e massima per ogni incremento. In questo modo puoi creare grafici più dettagliati che aggregano i conteggi degli eventi in base a incrementi di tempo e tempo.

Campi personalizzati

I campi personalizzati sono campi che crei utilizzando i campi predefiniti disponibili nel modello dei dati per il riquadro. I campi personalizzati possono essere utilizzati solo in quel riquadro.

Puoi creare uno dei seguenti tipi di campi personalizzati:

• Dimensioni personalizzate
• Misure personalizzate
• Espressioni di tabella personalizzate

Per accedere al menu dei campi personalizzati nella finestra di dialogo Modifica riquadro, fai clic su + Aggiungi nella sezione Tutti i campi > Campi personalizzati. La seguente immagine mostra la posizione del menu.

Creare una dimensione personalizzata

Le dimensioni personalizzate sono attributi univoci che ti aiutano a descrivere i dati. Ad esempio, la concatenazione del nome e del cognome di un utente può essere una dimensione personalizzata.

Per aggiungere dimensioni personalizzate a un riquadro, procedi nel seguente modo:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Apri un riquadro da modificare.
3. Nella sezione Campi personalizzati della finestra di dialogo Modifica riquadro, fai clic su + Aggiungi > Dimensione personalizzata. Viene visualizzata la finestra di dialogo Crea dimensione personalizzata.
4. Nella finestra di dialogo Crea dimensione personalizzata, segui questi passaggi:
   1. Nel campo Espressione, inserisci un'espressione di Looker che definisce il valore utilizzando qualsiasi funzione e operatore di Looker. L'editor delle espressioni di Looker suggerisce i nomi dei campi e visualizza la guida per la sintassi per tutte le funzioni che utilizzi. Di seguito sono riportate espressioni di esempio:
      • Concatena il nome del feed IOC e il valore IOC. Puoi utilizzare questo esempio solo nell'esplorazione Corrispondenze IOC. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Restituisce il primo valore non vuoto. L'ordine è il nome host e poi l'indirizzo IP. Se non esiste nessuna di queste opzioni, viene visualizzato _. Puoi utilizzare questo esempio solo nell'esplorazione del grafico delle entità. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Seleziona un formato dal menu Formato.
   3. Specifica il nome della dimensione personalizzata nel campo Nome. Questo valore verrà visualizzato nella scheda Tutti i campi e nella tabella Dati.
   4. Seleziona + Aggiungi descrizione per aggiungere una descrizione nel campo Descrizione.
   5. Fai clic su Salva.

La scheda Tutti i campi mostra il campo nella sezione Campi personalizzati. Come per gli altri campi, puoi selezionare una dimensione personalizzata da aggiungere o rimuovere dal riquadro.

Crea misure personalizzate

Le misure sono una rappresentazione numerica di una o più dimensioni (o attributi univoci dei dati), come un conteggio o una media. Le misure consentono di calcolare gli indicatori chiave di prestazione (KPI) e aiutano gli utenti ad analizzare i dati utilizzando diversi attributi aggregati.

Le misure personalizzate consentono di definire un calcolo numerico specifico per un campo. A seconda del tipo di campo, sono disponibili solo alcuni tipi di misure.

Completa i seguenti passaggi per aggiungere una misura personalizzata a un riquadro:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Apri un riquadro da modificare.
3. Nella sezione Campi personalizzati della finestra di dialogo Modifica riquadro, fai clic su + Aggiungi e seleziona Misura personalizzata. Viene visualizzata la finestra di dialogo Crea misura personalizzata.

4. Nella finestra di dialogo Crea misura personalizzata, segui questi passaggi:

   1. Seleziona un campo dal menu Campo da misurare.
   2. Seleziona un tipo di misura dal menu Tipo di misurazione.
   3. Specifica un nome nel campo Nome. Il nome viene visualizzato nel selettore campi e nella tabella dati.

   4. Nella scheda Filtri, procedi nel seguente modo:

      1. Per aggiungere una condizione filtro, seleziona un campo dal menu Nome filtro. Puoi aggiungere o rimuovere le condizioni di filtro rispettivamente utilizzando i pulsanti add_circle_outline e remove_circle_outline Valore filtro.
      2. Puoi selezionare la freccia accanto a Filtro personalizzato per creare un'espressione di filtro personalizzato utilizzando qualsiasi funzione e operatore di Looker che può essere utilizzato nei filtri personalizzati. L'editor espressioni di Looker suggerisce i nomi dei campi e mostra assistenza per la sintassi per tutte le funzioni che utilizzi. Di seguito sono riportate espressioni di esempio:
         • Misura i log del feed IOC per valori univoci. Puoi utilizzare questo esempio solo nell'esplorazione Corrispondenze IOC. ${ioc_matches.feed_log_type} != ""
         • Misura i secondi del bucket giorno IOC: ${ioc_matches.day_bucket_seconds}

   5. Nella scheda Dettagli campo, segui questi passaggi:

      • Seleziona un formato dal menu Formato.
      • Facoltativamente, aggiungi una descrizione di massimo 255 caratteri nel campo Descrizione per fornire agli altri utenti ulteriori dettagli sul campo personalizzato.

   6. Fai clic su Salva.

La scheda Tutti i campi mostra il campo nella sezione Campi personalizzati. Come per gli altri campi, puoi selezionare il campo personalizzato da aggiungere al riquadro.

Creare un calcolo tabulare personalizzato

I calcoli tabulari consentono di creare metriche ad hoc. Sono paragonabili alle formule degli strumenti per fogli di lavoro come Fogli Google.

Google Security Operations offre la possibilità di aggiungere calcoli personalizzati a un riquadro. Questi calcoli tabulari personalizzati vengono creati utilizzando espressioni Looker. Puoi creare calcoli tabulari solo utilizzando i campi dell'Esplora.

Completa i seguenti passaggi per creare un calcolo tabulare e aggiungerlo a un riquadro:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Apri un riquadro da modificare.
3. Nella sezione Campi personalizzati della finestra di dialogo Modifica riquadro, fai clic su + Aggiungi > Calcolo tabella. Viene visualizzata la finestra di dialogo Crea calcolo tabulare.
4. Nella finestra di dialogo Crea calcolo tabulare, segui questi passaggi:
   1. Seleziona un tipo di calcolo dal menu Calcolo. Le opzioni per un'espressione personalizzata vengono visualizzate per impostazione predefinita.
   2. Inserisci un'espressione di Looker nel campo per definire un calcolo. Di seguito sono riportati alcuni esempi di espressioni di calcolo tabulare:
      • La seguente espressione utilizza la funzione diff hours per mostrare la differenza tra due timestamp. Puoi utilizzare questo esempio solo nell'esplorazione Rilevamenti delle regole. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • La seguente espressione conteggia i valori IOC. Puoi utilizzare questo esempio solo nell'esplorazione Corrispondenze IOC. count(${ioc_matches.ioc_value})
   3. Seleziona un formato dal menu Formato.
   4. Inserisci un nome per il calcolo nel campo Nome.
   5. Seleziona + Aggiungi descrizione per aggiungere una descrizione facoltativa e fornire agli altri utenti un contesto più dettagliato sul calcolo tabulare.
   6. Fai clic su Salva.

La scheda Tutti i campi mostra il campo nella sezione Campi personalizzati. Come per gli altri campi, puoi selezionare il campo di calcolo personalizzato per aggiungerlo o rimuoverlo dal riquadro.

Seleziona il tipo di grafico di visualizzazione

Le visualizzazioni mostrano visivamente i dati per aiutarti a individuare anomalie e tendenze. La dashboard SIEM di Google Security Operations si basa sulla tecnologia Looker, incluse le visualizzazioni di Looker.

Di seguito sono riportati i tipi di visualizzazione che puoi utilizzare nelle dashboard SIEM di Google Security Operations:

• Opzioni del grafico a colonne
• Opzioni grafico a barre
• Opzioni dei grafici a dispersione
• Opzioni del grafico a linee
• Opzioni del grafico ad area
• Opzioni dei grafici box plot
• Opzioni del grafico a cascata
• Opzioni del grafico a torta
• Opzioni del grafico ad anello
• Opzioni del grafico a imbuto
• Opzioni del grafico a cronologia
• Opzioni del grafico a valore singolo
• Opzioni del grafico Record singolo
• Opzioni dei grafici a tabella
• Opzioni dei grafici a tabella (legacy)
• Opzioni grafico nuvola di Word
• Opzioni per i grafici di Google Maps
• Opzioni grafico mappa
• Opzioni del grafico Mappa statica (regioni)
• Opzioni del grafico Mappa statica (punti)

Utilizzando il pulsante Esegui nella finestra di dialogo Modifica riquadro, puoi visualizzare un'anteprima utilizzando i campi e il tipo di visualizzazione selezionati. Aggiorna l'anteprima dopo aver regolato e modificato la configurazione del riquadro facendo clic su Esegui.

Seleziona i campi da utilizzare come filtri

I filtri ti consentono di limitare i dati mostrati nella visualizzazione in modo da mostrare solo gli elementi che ti interessano. Puoi creare filtri utilizzando i campi del modello dei dati Esplora.

La dashboard SIEM di Google Security Operations si basa sulla tecnologia Looker, inclusi i filtri di Looker. In un riquadro puoi creare i seguenti tipi di filtri:

• I filtri standard creano filtri utilizzando campi predefiniti o personalizzati. Definisci questi filtri utilizzando la sezione Filtri della finestra di dialogo Modifica riquadro.
• Filtri personalizzati con espressioni Looker: specifica una logica di business dettagliata, combina la logica AND e OR o utilizza le funzioni di Looker. Fai clic sul pulsante Espressione personalizzata nella sezione Filtri della finestra di dialogo Modifica riquadro.

Alcuni campi predefiniti possono essere utilizzati in un filtro. Questi campi vengono visualizzati nella sezione Tutti i campi solo quando il modello dei dati include campi Solo filtro predefiniti.

Per aggiungere un filtro a un riquadro, procedi nel seguente modo:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Apri un riquadro da modificare.
3. Nella sezione Tutti i campi, seleziona i campi da utilizzare come filtri facendo clic su filter_list Filtra per campo accanto al nome di ciascun campo.

4. Nella sezione Filtri, puoi:

   • Definisci le condizioni del filtro per ciascun campo elencato nella sezione Filtri.
   • Fai clic su Espressione personalizzata e aggiungi valori nel campo Filtro personalizzato.

5. Fai clic su Esegui per aggiornare l'anteprima della visualizzazione.

Esempi che risolvono casi d'uso specifici

Le seguenti sezioni descrivono come creare visualizzazioni a supporto di casi d'uso specifici.

Creare un riquadro che mostri i tipi di IOC

Per aggiungere un riquadro alla dashboard al fine di monitorare i tipi di IOC, segui questi passaggi:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Fai clic su Aggiungi > Visualizzazione.
3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Corrispondenze IOC.
4. Inserisci un nome per il riquadro.
5. Seleziona le seguenti dimensioni: Tipo IoT e Data Timestamp evento > Data.
6. Seleziona le seguenti Misure: Conteggio.
7. Nella scheda In uso, tieni il puntatore sul campo Date Event Timestamp Date, quindi seleziona filter_list Filtra per campo. In questo modo, il campo viene aggiunto alla sezione Filtri.
8. Nella sezione Filtri, applica le condizioni di filtro che vuoi utilizzare.
9. Nella sezione Visualizzazione, seleziona l'icona Colonna.

10. Nella sezione Dati, segui questi passaggi:

    • Fai clic sull'intestazione Numero di corrispondenze dell'Ioc per ordinare i campi in ordine crescente o decrescente.
    • Imposta il Limite di righe su un valore, ad esempio 50, per limitare le righe mostrate nella visualizzazione.

11. Dopo aver configurato il riquadro, fai clic su Esegui per visualizzare l'anteprima della visualizzazione utilizzando i dati di Google Security Operations. L'anteprima viene visualizzata con i tipi di IOC per le corrispondenze di IOC rispetto alla data del timestamp dell'evento.

    L'immagine seguente mostra un esempio del grafico creato seguendo questi passaggi.

    

12. Fai clic su Salva.

Viene visualizzata la pagina Dashboard con il riquadro appena aggiunto.

Creare un riquadro con campi enumerati

Il modello dei dati unificati SIEM di Google Security Operations include più campi enumerati con valori archiviati sia come testo che come numeri. I valori associati a ogni campo di enum sono disponibili nell'elenco dei campi UDM.

In alcune esplorazioni, il valore di testo e il valore numerico del campo enum vengono archiviati in campi separati. Ad esempio, con il campo metadata.event_type uno dei valori enum è FILE_CREATION e il numero correlato è 14001.

In un'esplorazione, i seguenti campi memorizzano i valori metadata.event_type:

• metadata.event_type memorizza il valore numerico, 14001.
• metadata.event_type_enum_name archivia il valore di testo, FILE_CREATION.

Quando aggiungi un campo enumerato a un riquadro, aggiungi il campo in cui è archiviato il valore di testo al posto del numero.

Segui queste istruzioni per aggiungere un riquadro con campi enumerati a una dashboard:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Fai clic su Aggiungi > Visualizzazione.
3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Eventi UDM.
4. Inserisci un nome per il riquadro.
5. In Trova un campo, cerca un campo UDM, ad esempio metadata.event_type.
6. In Dimensioni, seleziona metadata.event_type_enum_name e security_result.action_enum_name.
7. In Misurazioni, seleziona Conteggio.
8. Nella scheda In uso, tieni il puntatore sul campo security_result.action_enum_name, quindi seleziona filter_listFiltra per campo. Vengono visualizzati i filtri del campo selezionato nella sezione Filtri.
9. Nella sezione Filtri, seleziona è uguale a, quindi seleziona BLOCCA come valori.
10. Nella sezione Visualizzazione, seleziona l'icona Tabella.

11. Nella sezione Dati, segui questi passaggi:

    • Fai clic sull'intestazione Conteggio UDM per ordinare i campi in ordine crescente o decrescente.
    • Imposta il Limite righe su un valore (ad esempio 50) per limitare le righe mostrate nella visualizzazione.

12. Fai clic su Esegui per visualizzare l'anteprima della visualizzazione utilizzando i dati di Google Security Operations. L'anteprima viene visualizzata con i valori metadata.event_type per conteggio, dove il nome di security_result.action_enum è BLOCK.

    L'immagine seguente mostra un esempio del grafico creato seguendo questi passaggi.

    

13. Fai clic su Salva.

Viene visualizzata la pagina Dashboard con il riquadro appena aggiunto.

Utilizzare un pivot in una tabella di dati

Puoi utilizzare un Pivot per visualizzare i conteggi degli eventi in più dimensioni.

Il seguente riquadro mostra il conteggio degli eventi nei valori dei campi metadata.event_type_enum_name e security_result_action_enum_name. In questo esempio, viene applicato un pivot al campo security_result_action_enum_name.

Completa i seguenti passaggi per creare questa tabella di dati contenente un pivot:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Fai clic su Aggiungi > Visualizzazione.
3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Eventi UDM.
4. Inserisci un nome per il riquadro.
5. Seleziona i campi Dimensione metadata.event_type_enum_name e security_result_action_enum_name.
6. Seleziona il campo Misura Count.
7. Nella sezione Filtro, crea i seguenti filtri:
   • UDM metadata_event_timestamp è nelle ultime 2 ore.
   • UDM security_result.action_enum_name non è nullo.
8. Nella scheda In uso, verifica che siano visualizzati i seguenti campi. Se mancano, ripeti i passaggi precedenti per configurare il riquadro.
   • metadata.event_timestamp
   • metadata.event_type_enum_name-metadata
   • security_result_action_enum_name-security_result
   • Count
9. Nella sezione Dati, fai clic sull'icona settings nell'intestazione della colonna security_result.action_enum_name, quindi seleziona Pivot.
10. Viene visualizzata una nuova riga nella griglia in Dati.
11. Nella sezione Visualizzazione, seleziona l'icona Tabella.
12. Fai clic su Esegui per vedere un'anteprima della visualizzazione.

L'immagine seguente mostra queste opzioni di configurazione nella finestra di dialogo Modifica riquadro.

Opzioni di configurazione per l'utilizzo di pivot in una tabella di dati

Utilizzare un pivot con i campi delle date per creare un grafico a cronologia

Puoi utilizzare un pivot con i campi delle date per creare un grafico a cronologia. Il seguente riquadro mostra il conteggio orario degli eventi per i valori nei campi security_result_action_enum_name.

In questo esempio, viene applicato un pivot al campo security_result_action_enum_name. Il filtro limita l'intervallo di date e filtra i dati in cui il valore security_result_action_enum_name è null. Usa il campo data metadata.event_timestamp Hour predefinito che suddivide i dati in base all'ora.

Per utilizzare un pivot con i campi di dati:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Fai clic su Aggiungi > Visualizzazione.
3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Eventi UDM.
4. Inserisci un nome per il riquadro.
5. Seleziona i campi Dimensione: metadata.event_timestamp Hour e security_result_action_enum_name.
6. Seleziona il campo Misura: Count.
7. Nella sezione Filtro, crea i seguenti filtri:
   • UDM metadata_event_timestamp è nell'intervallo, quindi seleziona una data e un'ora di inizio e di fine.
   • UDM security_result.action_enum_name non è nullo.
8. Nella scheda In uso, verifica che siano visualizzati i seguenti campi. Se mancano, ripeti i passaggi precedenti per configurare il riquadro.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour-metadata
   • security_result_action_enum_name-security_result
   • Count
9. Nella sezione Dati, fai clic sull'icona settings nell'intestazione della colonna security_result.action_enum_name, quindi seleziona Pivot. Viene visualizzata una nuova riga nella griglia di dati.
10. Nella sezione Visualizzazione, seleziona l'icona Tabella.
11. Fai clic su Esegui per vedere un'anteprima della visualizzazione.

L'immagine seguente mostra queste opzioni di configurazione nella finestra di dialogo Modifica riquadro.

Opzioni di configurazione per l'utilizzo del pivot in un campo Data

Crea un grafico con misure dettagliate relative al timestamp

Puoi creare un grafico con il numero di eventi per ogni tipo di log, oltre al timestamp evento meno recente (min) e più recente (max). Questo grafico utilizza il campo metadata.product_name per identificare il tipo di log.

Per creare un grafico con timestamp min o max:

1. Apri una dashboard da modificare esistente o creane una nuova.

2. Fai clic su Aggiungi > Visualizzazione.

3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Eventi UDM.

4. Inserisci un nome per il riquadro.

5. Seleziona il campo Dimensione: metadata.product_name.

6. Seleziona i campi Misura: Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date.

7. Fai clic su Esegui per visualizzare l'anteprima della visualizzazione. L'anteprima viene visualizzata con i valori metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date nel formato data.

8. Fai clic su Salva. Viene visualizzata la pagina Dashboard con il grafico appena aggiunto. Il grafico include le colonne metadata.product_name, UDM, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date con valori.