向信息中心添加图表可视化图表

如需将图表或其他可视化图表添加到信息中心，请使用可视化图表。 可视化功能块会显示您在创建功能块时选择的关联 LookML 视图的数据（称为探索）。本文档介绍了以下内容：

• 如何使用可视化图表功能块创建图表和其他可视化图表。
• 如何创建可满足特定用例的数据可视化图表。

流程概览

概括来讲，您可以通过执行以下操作，在信息中心内创建可视化图表：

1. 向信息中心添加可视化图块。
2. 选择“探索”。探索是新功能块的起点，表示特定的数据模型。
3. 为可视化图表选择数据字段。预定义字段分组为以下类型之一：
   • 维度：用于描述数据的数据的属性。示例：在博物馆数据集中，博物馆的面积和建筑材料是不同的维度。
   • 测量：一个或多个维度的数字表示形式，或数据的唯一属性，例如计数或平均值。
   • 仅限过滤条件的字段：只能在过滤条件中使用的预定义字段。
4. （可选）创建自定义字段并将其添加到支持特定用例的功能块中。
5. 选择以下选项，以配置功能块：
   • 可视化图表：直观地显示您选择的字段。例如，折线图可以显示一段时间内的趋势。
   • 过滤条件：限制可视化图表仅显示您感兴趣的数据。“探索”中的任何字段都可用于创建过滤器。
6. 运行可视化图表以预览结果。
7. 保存可视化图块。

本文档的以下部分详细介绍了如何在可视化功能块中配置每个组件。

示例：创建数据表

以下步骤详细介绍了如何使用可视化图块创建数据表，并在修改图块对话框中显示配置选项。

1. 从个人信息中心或共享信息中心中，选择一个信息中心，然后点击 more_vert 信息中心操作 > 修改信息中心。
2. 依次点击添加 > 可视化图表。
3. 选择探索数据模型。系统随即会显示修改图块对话框。
4. 请输入唯一的板块名称。
5. 从所有字段中，选择预定义字段：维度和测量。 您通常需要选择至少两个字段才能创建可视化图表。您选择的字段会显示在数据部分。
6. （可选）创建并添加可视化图表所需的任何自定义字段。它们会显示在数据部分中。
7. 在可视化图表部分中，选择表格作为可视化类型。 可视化图表会在表格中显示所选的数据字段。
8. 在过滤条件部分，定义过滤条件，将可视化图表限制为仅显示您感兴趣的数据。“探索”中的任何字段都可用于创建过滤器。
9. 在数据部分，执行以下操作：
   • 点击探索字段标题，按升序或降序对字段进行排序。
   • 设置行数上限可限制可视化图表中显示的行数。
10. 点击 Run 以使用 Chronicle SIEM 数据预览可视化效果。
11. 点击保存。系统会显示信息中心以及新添加的图块。

下图显示了您在修改图块对话框中执行这些步骤的位置。

包含配置的“Edit Tiles”对话框

选择探索数据模型

Chronicle SIEM 提供了多种数据模型，可用于构建信息中心。每个数据模型都是一个 Looker 探索，定义了一部分 UDM 字段。

创建新的可视化图表功能块时，首先要从探索着手。它旨在探索特定的数据模型。您需要为每个可视化图表图块选择一个数据模型“探索”。

Chronicle SIEM 提供以下数据模型探索：

• 实体图
• IOC 匹配项
• 注入指标与注入统计信息
• 注入指标
• 注入统计数据
• 规则检测
• 包含检测功能的规则集
• UDM 事件
• UDM 事件汇总

您可以视需要创建自定义字段，以便仅用于创建这些字段的图块。

为图表可视化图表选择字段

在为图块选择“探索”选项后，预定义的 UDM 字段将显示在探索对话框中的所有字段标签页下。

从所有字段标签页中选择字段后，这些字段将同时显示在使用中标签页和数据部分中。以下各小节介绍了在创建图表可视化图表时您可以选择的字段类型。

预定义字段

每个探索都包含一组不同的预定义 UDM 字段。功能块中的可用预定义字段取决于您从选择探索对话框中选择的数据模型。

预定义字段分为以下几个类型：

• 维度
• 测量
• 仅限过滤条件的字段

每个字段旁边的图标会显示更多信息并指示可用选项，例如按字段过滤、透视数据、汇总、分箱或分组。点击信息图标可查看字段的帮助文本。当您将指针悬停在某个字段上时，这些图标可见。如需了解详情，请参阅特定于字段的信息和操作。

您可以使用预定义字段来创建自定义维度、创建自定义测量、创建表计算，以及对功能块应用过滤条件。

探索可能包含不再受支持的已弃用字段。已弃用的字段由字段名称后跟 [D] 标识。

某些数据模型包含只能在过滤器中使用的预定义“仅限过滤条件”字段。数据模型中的仅限过滤条件的字段可能包含以下一种或多种字段类型：

• 各个 UDM 字段
• 分组的 UDM 字段

某些探索数据模型（例如 UDM 事件）包含针对存储时间戳的字段（例如 principal.artifact.first_seen_time 和 security_result.about.file.last_modification_time）的更精细的测量结果。

这些指标将时间戳拆分为更精细的增量，例如小时、天、周或年。该模型还会为每个增量提供最小和最大测量值。这样，您就可以创建更详细的图表，根据时间和时间增量汇总事件计数。

自定义字段

自定义字段是您使用功能块数据模型中提供的预定义字段创建的字段。自定义字段只能在该图块中使用。

您可以创建以下任意类型的自定义字段：

• 自定义维度
• 自定义测量
• 自定义表格表达式

如需访问修改图块对话框中的自定义字段菜单，请点击所有字段 > 自定义字段部分下的 + 添加。下图显示了菜单位置。

创建自定义维度

自定义维度是可帮助您描述数据的独特属性。例如，用户的名字和姓氏的串联可以是自定义维度。

若要向功能块添加自定义维度，请完成以下步骤：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 打开要修改的图块。
3. 在修改图块对话框的自定义字段部分中，依次点击 + 添加 > 自定义维度。系统会显示“创建自定义维度”对话框。
4. 在创建自定义维度对话框中，执行以下操作：
   1. 在表达式字段中，输入一个 Looker 表达式，使用该表达式使用任意 Looker 函数和运算符定义值。Looker 表达式编辑器会提供字段名称建议，并显示您使用的任何函数的语法帮助。以下是示例表达式：
      • 串联 IOC Feed 名称和 IOC 值。 您只能在 IOC 匹配探索中使用此示例。 concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • 返回第一个不为空的值。 顺序是主机名，然后是 IP 地址。如果这两者都不存在，它会显示 _。您只能在实体图探索中使用此示例。 coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. 从格式菜单中选择一种格式。
   3. 在名称字段中指定自定义维度名称。此值将显示在所有字段标签页和数据表中。
   4. 选择 + 添加说明，在说明字段中添加说明。
   5. 点击保存。

所有字段标签页会在自定义字段部分显示该字段。与其他字段一样，您可以选择自定义维度，以将其添加到图块中或将其从中移除。

创建自定义测量

测量是一个或多个维度（或数据的唯一属性）的数字表示形式，例如计数或平均值。利用衡量指标，您可以计算关键绩效指标 (KPI)，并帮助用户使用不同的汇总属性分析数据。

通过自定义测量，您可以为字段定义特定的数值计算。根据字段类型，只能提供某些类型的测量。

要为图块添加自定义测量，请执行以下步骤：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 打开要修改的图块。
3. 在修改图块对话框的自定义字段部分中，点击 + 添加，然后选择自定义测量。系统随即会显示创建自定义测量对话框。

4. 在创建自定义测量对话框中，执行以下操作：

   1. 从要测量的字段菜单中选择一个字段。
   2. 从测量类型菜单中选择测量类型。
   3. 在 Name 字段中指定一个名称。该名称会显示在字段选择器和数据表中。

   4. 在过滤条件标签页中，执行以下操作：

      1. 如需添加过滤条件，请从过滤器名称菜单中选择一个字段。您可以分别使用 add_circle_outline 和 remove_circle_outline 过滤条件值按钮添加或移除过滤条件。
      2. 您可以选择自定义过滤条件旁边的箭头，以使用可在自定义过滤条件中使用的任何 Looker 函数和运算符创建自定义过滤条件表达式。Looker 表达式编辑器会提供字段名称建议，并显示您使用的任何函数的语法帮助。以下是示例表达式：
         • 衡量 IOC Feed 日志中的唯一值。 您只能在 IOC 匹配探索中使用此示例。 ${ioc_matches.feed_log_type} != ""
         • 衡量 IOC 日期范围秒：${ioc_matches.day_bucket_seconds}

   5. 在字段详细信息标签页中，执行以下操作：

      • 从格式菜单中选择一种格式。
      • （可选）在说明字段中添加说明（最多 255 个字符），以便为其他用户提供有关自定义字段的更多详细信息。

   6. 点击保存。

所有字段标签页会在自定义字段部分显示该字段。与其他字段一样，您可以选择要添加到功能块中的自定义字段。

创建自定义表计算

通过表计算，您可以创建临时指标。它们与电子表格工具（如 Google 表格）中的公式类似。

Chronicle 提供了用于向功能块添加自定义计算的选项。这些自定义表计算是使用 Looker 表达式构建的。您只能使用探索中的字段创建表计算。

如需创建表计算并将其添加到图块，请完成以下步骤：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 打开要修改的图块。
3. 在修改图块对话框的自定义字段部分中，依次点击 + 添加 > 表计算。此时将显示创建表计算对话框。
4. 在创建表计算对话框中，执行以下操作：
   1. 从计算菜单中选择计算类型。默认情况下，系统会显示自定义表达式的选项。
   2. 在该字段中输入 Looker 表达式以定义计算。以下是表计算表达式示例：
      • 以下表达式使用 diff hours 函数来显示两个时间戳之间的差异。您只能在规则检测探索中使用此示例。diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • 以下表达式对 IOC 值进行计数。您只能在 IOC 匹配探索中使用此示例。count(${ioc_matches.ioc_value})
   3. 从格式菜单中选择一种格式。
   4. 在名称字段中输入计算名称。
   5. 选择 + 添加说明以添加说明（可选），以便为其他用户提供有关表计算的更多背景信息。
   6. 点击保存。

所有字段标签页会在自定义字段部分显示该字段。与其他字段一样，您可以选择自定义计算字段，以向功能块中添加或移除该字段。

选择可视化图表类型

可视化图表会直观地显示数据，以帮助您发现异常情况和趋势。Chronicle SIEM 信息中心基于 Looker 技术，包括 Looker 可视化。

以下是您可以在 Chronicle SIEM 信息中心中使用的可视化类型：

• 柱形图选项
• 条形图选项
• 散点图图表选项
• 折线图选项
• 面积图选项
• 箱线图选项
• 瀑布图选项
• 饼图选项
• 多层圆环图选项
• 漏斗图选项
• 时间轴图表选项
• 单值图表选项
• Single Record 图表选项
• 表格图表选项
• 表格（旧版）图表选项
• 文字云图选项
• Google 地图图表选项
• 地图图表选项
• 静态地图（区域）图表选项
• 静态地图（点）图表选项

使用修改图块对话框中的 Run 按钮，您可以使用选定的字段和可视化类型显示预览。调整和修改功能块配置后，点击 Run 刷新预览。

选择要用作过滤条件的字段

通过过滤条件，您可以限制可视化图表中显示的数据，以便仅显示感兴趣的项。您可以使用“探索”数据模型中的字段创建过滤条件。

Chronicle SIEM 信息中心基于 Looker 技术，包括 Looker 过滤器。您可以在功能块中创建以下类型的过滤条件：

• 标准过滤条件使用预定义或自定义字段创建过滤条件。请使用修改图块对话框的过滤条件部分定义这些过滤条件。
• 使用 Looker 表达式自定义过滤条件：指定详细的业务逻辑，合并 AND 和 OR 逻辑，或使用 Looker 函数。在修改图块对话框的过滤条件部分，点击自定义表达式按钮。

某些预定义字段可在过滤条件中使用。仅当数据模型包含预定义的仅包含过滤条件的字段时，这些字段才会显示在“所有字段”部分下。

要为功能块添加过滤器，请完成以下步骤：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 打开要修改的图块。
3. 在所有字段部分下，通过点击每个字段名称旁边的 filter_list 按字段过滤，选择要用作过滤条件的字段。

4. 在过滤条件部分，您可以执行以下任一操作：

   • 为过滤器部分中列出的每个字段定义过滤条件。
   • 点击自定义表达式，在自定义过滤器字段中添加值。

5. 点击 Run 以更新可视化预览。

满足特定用例的示例

以下部分介绍了如何创建支持特定用例的可视化图表。

创建显示 IOC 类型的图块

请按照以下步骤向信息中心添加图块以监控 IOC 类型：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 IOC 匹配。
4. 输入板块名称。
5. 选择以下维度：Ioc 类型和事件时间戳日期 > 日期。
6. 选择以下测量：计数。
7. 在使用中标签页中，将指针悬停在日期事件时间戳日期字段上，然后选择 filter_list 按字段过滤。此操作会将该字段添加到过滤条件部分。
8. 在过滤条件部分，应用要使用的过滤条件。
9. 在可视化图表部分中，选择列图标。

10. 在 Data 部分中，执行以下操作：

    • 点击 Ioc match Count 标题，以升序或降序对字段进行排序。
    • 将行数上限设置为某个值（例如 50），以限制可视化图表中显示的行数。

11. 配置该功能块后，点击 Run 以使用 Chronicle 数据预览可视化效果。预览会显示，同时 IOC 与事件时间戳日期匹配的 IOC 类型。

    下图显示了使用这些步骤创建的图表示例。

    

12. 点击保存。

系统随即会显示信息中心页面，其中包含新添加的图块。

创建包含枚举字段的功能块

Chronicle SIEM 统一数据模型包含多个枚举字段，其中的值同时存储为文本和数字。您可以在 UDM 字段列表中找到与每个枚举字段关联的值。

在某些探索中，枚举字段文本字段和数值会存储在单独的字段中。例如，对于字段 metadata.event_type，其中一个枚举值为 FILE_CREATION，相关编号为 14001。

在探索中，以下字段会存储 metadata.event_type 值：

• metadata.event_type 存储数值 14001。
• metadata.event_type_enum_name 存储文本值 FILE_CREATION。

向功能块添加枚举字段时，请添加用于存储文本值（而非数字）的字段。

请按照以下说明将包含枚举字段的功能块添加到信息中心：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入板块名称。
5. 在查找字段中，搜索 UDM 字段，例如 metadata.event_type。
6. 从 Dimensions 中，选择 metadata.event_type_enum_name 和 security_result.action_enum_name。
7. 从测量中选择计数。
8. 在使用中标签页中，将指针悬停在 security_result.action_enum_name 字段上，然后选择 filter_list按字段过滤。此时，系统会显示过滤条件部分中所选字段的过滤条件。
9. 在过滤条件部分，选择等于，然后选择屏蔽作为值。
10. 在可视化图表部分中，选择表格图标。

11. 在 Data 部分中，执行以下操作：

    • 点击 UDM 计数标题，按升序或降序对字段进行排序。
    • 将行数上限设置为某个值（例如 50），以限制可视化图表中显示的行数。

12. 点击 Run 以预览使用 Chronicle 数据的可视化图表。 系统将显示预览，其中按计数显示 metadata.event_type 值，其中 security_result.action_enum 名称为 BLOCK。

    下图显示了使用这些步骤创建的图表示例。

    

13. 点击保存。

系统随即会显示信息中心页面，其中包含新添加的图块。

在数据表中使用数据透视表

您可以使用数据透视跨多个维度显示事件数。

以下功能块显示了 metadata.event_type_enum_name 和 security_result_action_enum_name 字段中的值的事件数。在此示例中，数据透视应用于 security_result_action_enum_name 字段。

完成以下步骤以创建包含数据透视的数据表：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入板块名称。
5. 选择维度字段 metadata.event_type_enum_name 和 security_result_action_enum_name。
6. 选择测量字段 Count。
7. 在过滤条件部分，创建以下过滤条件：
   • UDM metadata_event_timestamp 在过去 2 小时内。
   • UDM security_result.action_enum_name 不为 null。
8. 在使用中标签页下，检查是否已显示以下字段。如果缺少任何功能块，请重复前面的步骤来配置功能块。
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 在数据部分中，点击 security_result.action_enum_name 列标题中的 settings 图标，然后选择数据透视。
10. 数据下的网格中会显示一个新行。
11. 在可视化图表部分中，选择表格图标。
12. 点击运行，以显示可视化图表的预览。

下图显示了修改图块对话框中的这些配置选项。

数据表中数据透视表的配置选项

使用包含日期字段的数据透视创建时间图表

您可以使用包含日期字段的数据透视来创建时间图表。以下功能块显示了 security_result_action_enum_name 字段中值的每小时事件数。

在此示例中，数据透视应用于 security_result_action_enum_name 字段。过滤条件会限制日期范围，并过滤掉 security_result_action_enum_name 值为 null 的数据。它使用预定义的 metadata.event_timestamp Hour 日期字段，按小时对数据进行分区。

要将数据透视与数据字段结合使用，请执行以下操作：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入图块名称。
5. 选择维度字段：metadata.event_timestamp Hour 和 security_result_action_enum_name。
6. 选择测量字段：Count。
7. 在过滤条件部分，创建以下过滤条件：
   • UDM metadata_event_timestamp 在范围内，然后选择开始日期和时间以及结束日期和时间。
   • UDM security_result.action_enum_name 不为 null。
8. 在使用中标签页下，检查是否已显示以下字段。如果缺少任何功能块，请重复前面的步骤来配置功能块。
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 在数据部分中，点击 security_result.action_enum_name 列标题中的 settings 图标，然后选择数据透视。数据网格中会出现一个新行。
10. 在可视化图表部分中，选择表格图标。
11. 点击运行，以显示可视化图表的预览。

下图显示了修改图块对话框中的这些配置选项。

日期字段中数据透视的配置选项

创建一个包含详细时间戳测量的图表

您可以创建一个图表，其中包含每种日志类型的事件数以及最早 (min) 和最新 (max) 事件时间戳。此图表使用 metadata.product_name 字段来标识日志类型。

要创建时间戳为 min 或 max 的图表，请按以下步骤操作：

1. 打开现有信息中心以进行修改或创建新的信息中心。

2. 依次点击添加 > 可视化图表。

3. 在选择探索对话框中，选择 UDM 事件。

4. 输入图块名称。

5. 选择维度字段：metadata.product_name。

6. 选择 Measure 字段：Count、metadata.event_timestamp (min) Date、metadata.event_timestamp (max) Date。

7. 点击运行以预览可视化图表。 系统会显示预览，其中以日期格式显示 metadata.event_timestamp (min) Date 和 metadata.event_timestamp (max) Date 值。

8. 点击保存。系统随即会显示信息中心页面，其中包含新添加的图表。该图表包含带有值的 metadata.product_name、UDM、metadata.event_timestamp (min) Date 和 metadata.event_timestamp (max) Date 列。