向信息中心添加图表可视化

如需向信息中心添加图表或其他可视化图表，请使用可视化图块。可视化图块会显示您在创建图块时选择的关联 LookML 视图（称为“探索”）中的数据。本文档介绍了以下内容：

• 如何使用可视化功能块创建图表和其他可视化内容。
• 如何创建可满足特定用例的数据可视化图表。

流程概览

概括来讲，您可以通过执行以下操作在信息中心内创建可视化图表：

1. 向信息中心添加可视化功能块。
2. 选择“探索”。探索是新版 API 的起点 并表示特定的数据模型。
3. 为可视化图表选择数据字段。预定义字段分为 以下类型：
   • 维度：用于描述数据的数据属性。示例：博物馆的数据集中，博物馆的建筑面积和建筑材料是不同的维度。
   • 衡量指标：一个或多个维度的数字表示法，或数据的唯一属性，例如 计算为计数或平均值。
   • 仅限过滤条件的字段：只能在过滤条件中使用的预定义字段。
4. （可选）创建自定义字段并将其添加到功能块中，以支持特定用例。
5. 通过选择以下选项配置功能块：
   • 可视化图表：以直观的方式显示您选择的字段。 例如，折线图可以显示一段时间内的趋势。
   • 过滤条件：限制可视化图表仅显示感兴趣的数据。“探索”中的任何字段都可以用来创建过滤条件。
6. 运行可视化图表以预览结果。
7. 保存可视化功能块。

本文档的以下部分详细介绍了如何配置可视化图块中的每个组件。

示例：创建数据表

以下步骤详细介绍了如何使用 可视化图块，并在 Edit Tile 对话框中显示配置选项。

1. 在个人信息中心或共享信息中心中，选择一个信息中心，然后点击 more_vert 信息中心操作 > 修改信息中心。
2. 点击添加 >可视化图表。
3. 选择一个探索数据模型。系统随即会显示修改功能块对话框。
4. 请输入具有唯一性的图块名称。
5. 在所有字段中，选择预定义字段：维度和测量。 通常需要选择至少两个字段才能创建可视化图表。 您选择的字段会显示在数据部分中。
6. （可选）创建并添加可视化图表所需的所有自定义字段。它们将显示在数据部分中。
7. 在可视化部分，选择表格作为可视化图表类型。 可视化图表会在表格中显示所选的数据字段。
8. 在过滤器部分，定义过滤器，用于限制 仅显示感兴趣的数据。“探索”中的任何字段都可用于创建过滤条件。
9. 在数据部分中，执行以下操作：
   • 点击探索字段标题可按升序或降序对字段进行排序。
   • 设置行数上限，以限制可视化图表中显示的行数。
10. 点击 Run 以使用 Google Security Operations SIEM 数据预览可视化图表。
11. 点击保存。系统会显示信息中心，其中包含新添加的功能块。

下图标识了修改图块对话框中的位置 执行这些步骤的位置

包含配置的功能块修改对话框

选择探索数据模型

Google Security Operations SIEM 提供了多个数据模型，可供您用于构建信息中心。每个数据模型都是一个 Looker 探索，用于定义 UDM 字段的子集。

探索是创建新的可视化功能块时的起点。它的设计宗旨是 来探索特定的数据模型。您可以为每个可视化图块选择一个数据模型“探索”。

Google Security Operations SIEM 提供以下数据模型探索：

• 实体图
• IOC 匹配项
• 注入指标和注入统计信息
• 提取指标
• 注入统计信息
• 规则检测
• 包含检测的规则集
• UDM 事件
• UDM 事件汇总

您可以视需要创建自定义字段，以便仅在创建这些字段的图块中使用。

为图表可视化结果选择字段

为功能块选择“探索”后，预定义的 UDM 字段会显示在探索对话框的所有字段标签页下。

从所有字段标签页中选择字段后，它们会同时显示在 正在使用标签页和数据部分。以下各小节介绍了 您可以选择用于创建图表可视化的字段类型。

预定义字段

每个探索都包含一组不同的预定义 UDM 字段。功能块中提供的预定义字段取决于您从选择探索对话框中选择的数据模型。

预定义字段分为以下几类：

• 维度
• 测量
• 仅限过滤条件的字段

每个字段旁边的图标都会显示更多信息，并表示可用的选项。 例如“按字段过滤”、“透视数据”、“汇总”、“分箱”或“组”。点击信息图标可查看该字段的帮助文本。当您将光标悬停在某个字段上时，就会看到这些图标。如需了解详情，请参阅特定于字段的信息和操作。

您可以使用预定义字段创建自定义维度、创建自定义测量值、创建表格计算，以及对功能块应用过滤条件。

“探索”部分可能包含不再受支持的已弃用字段。 已弃用的字段由字段名称后跟 [D] 进行标识。

某些数据模型包含预定义的仅限过滤条件的字段，这些字段只能 。数据模型中的仅限过滤条件的字段可以包含以下一个或多个字段类型：

• 单个 UDM 字段
• 已分组的 UDM 字段

某些“探索”数据模型（例如 UDM 事件）针对 存储时间戳的字段（例如 principal.artifact.first_seen_time） 和 security_result.about.file.last_modification_time）。

这些衡量标准会将时间戳拆分为更精细的时间单位，例如小时、天、周或年。该模型还为每个样本提供 增量。这样，您就可以创建更详细的图表，以根据时间和时间增量汇总事件数。

自定义字段

自定义字段是指您使用功能块数据模型中提供的预定义字段创建的字段。自定义字段只能在该功能块中使用。

您可以创建以下任意类型的自定义字段：

• 自定义维度
• 自定义测量
• 自定义表格表达式

如需在修改功能块对话框中访问自定义字段菜单，请依次点击所有字段 > 自定义字段部分下的 + 添加。下图显示了菜单位置。

创建自定义维度

自定义维度是一些具有唯一性的属性，可帮助您描述数据。例如： 用户的名字和姓氏的串联可以是自定义维度。

如需向功能块添加自定义维度，请完成以下步骤：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 打开要修改的图块。
3. 在修改图块对话框的自定义字段部分，点击 + 添加 >自定义维度。系统随即会显示创建自定义维度对话框。
4. 在创建自定义维度对话框中，执行以下操作：
   1. 在表达式字段中，输入使用任何 Looker 函数和运算符定义值的 Looker 表达式。Looker 表达式编辑器会建议字段名称并显示 语法帮助。 以下是示例表达式：
      • 将 IOC Feed 名称和 IOC 值串联起来。 您只能在 IOC 匹配探索中使用此示例。 concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • 返回第一个非空值。 顺序依次是主机名和 IP 地址。如果它们都不存在， 会显示 _。您只能在实体图谱的“探索”中使用此示例。 coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. 从格式菜单中选择一种格式。
   3. 在名称字段中指定自定义维度名称。该值将显示在 “所有字段”标签页和“数据”表格中。
   4. 选择 + 添加说明，在说明字段中添加说明。
   5. 点击保存。

所有字段标签页会在自定义字段部分中显示该字段。与其他字段一样，您可以选择要添加或移除的来自定义维度。

创建自定义测量

测量是一个或多个维度（或唯一属性）的数字表示 数据），例如“计数”或“平均值”。通过测量指标， 绩效指标 (KPI)，帮助用户利用不同的汇总属性分析数据。

自定义测量允许您为字段定义特定的数值计算。 根据字段类型，只有特定类型的测量可用。

如需向功能块添加自定义衡量标准，请完成以下步骤：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 打开要修改的功能块。
3. 在修改图块对话框的自定义字段部分，点击 + 添加。 然后选择自定义测量。系统随即会显示创建自定义衡量标准对话框。

4. 在创建自定义衡量标准对话框中，执行以下操作：

   1. 从要测量的字段菜单中选择一个字段。
   2. 从测量类型菜单中选择一种测量类型。
   3. 在 Name 字段中指定一个名称。该名称会显示在字段选择器和数据表中。

   4. 在过滤条件标签页中，执行以下操作：

      1. 如需添加过滤条件，请从过滤条件名称菜单中选择一个字段。您可以使用 add_circle_outline和 remove_circle_outline 过滤值按钮。
      2. 您可以选择自定义过滤条件旁边的箭头，使用可在自定义过滤条件中使用的任何 Looker 函数和运算符来创建自定义过滤条件表达式。Looker 表达式编辑器建议 字段名称，并显示您使用的任何函数的语法帮助。 以下是示例表达式：
         • 衡量 IOC Feed 日志中唯一值的数量。 您只能在 IOC 匹配探索中使用此示例。 ${ioc_matches.feed_log_type} != ""
         • 衡量 IOC 日期时间段秒：${ioc_matches.day_bucket_seconds}

   5. 在字段详情标签页中，执行以下操作：

      • 从格式菜单中选择一种格式。
      • （可选）在广告内容描述中添加最多 255 个字符的广告内容描述 字段，以便为其他用户提供有关自定义字段的其他详情。

   6. 点击保存。

所有字段标签页会在自定义字段部分中显示该字段。与其他字段一样，您可以选择要添加到功能块的自定义字段。

创建自定义表计算

您可以使用表计算创建临时指标。它们 添加到 Google 表格等电子表格工具中的公式中。

Google Security Operations 可让您将自定义计算添加到功能块。 这些自定义表计算是使用 Looker 表达式构建的。 您只能使用探索中的字段创建表格计算。

如需创建表计算并将其添加到功能块中，请执行以下步骤：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 打开要修改的功能块。
3. 在修改图块对话框的自定义字段部分，依次点击 + 添加 > 表格计算。此时将显示创建表计算对话框。
4. 在创建表格计算对话框中，执行以下操作：
   1. 从计算菜单中选择计算类型。默认情况下，系统会显示自定义表达式的选项。
   2. 在字段中输入 Looker 表达式 定义计算。 以下是表计算表达式示例：
      • 以下表达式使用 diff hours 函数显示两个时间戳之间的差值。您可以使用以下示例 仅适用于规则检测“探索”部分。 diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • 以下表达式计算 IOC 值。您只能在 IOC 匹配探索中使用此示例。count(${ioc_matches.ioc_value})
   3. 从格式菜单中选择一种格式。
   4. 在名称字段中输入计算名称。
   5. 选择 + 添加说明以添加可选说明，为其他用户提供有关表格计算的更多背景信息。
   6. 点击保存。

所有字段标签页会显示自定义字段部分中的字段。与其他字段一样，您可以选择自定义计算字段，将其添加或移除到功能块中。

选择可视化图表类型

可视化图表以直观的方式显示数据，有助于您发现异常和趋势。Google Security Operations SIEM 信息中心基于 Looker 技术， 包括 Looker 可视化。

以下是您可以在 Google Security Operations SIEM 中使用的可视化类型 信息中心：

• 柱形图选项
• 条形图选项
• 散点图选项
• 折线图选项
• 面积图选项
• 箱线图选项
• 瀑布图选项
• 饼图选项
• 圆环图选项
• 漏斗图表选项
• 时间表图选项
• 单值图表选项
• “单个记录”图表选项
• 表格图表选项
• 表格（旧版）图表选项
• 文字云图选项
• Google 地图图表选项
• 地图图表选项
• “静态地图（区域）”图表选项
• “静态地图（点）”图表选项

您可以使用修改图块对话框中的运行按钮，使用所选字段和可视化图表类型显示预览。调整后刷新预览 以及点击 Run 来修改功能块配置。

选择要用作过滤条件的字段

通过过滤条件，您可以对可视化图表中显示的数据进行限制，使其仅显示项目 相关主题。您可以使用“探索”数据模型中的字段创建过滤条件。

Google Security Operations SIEM 信息中心基于 Looker 技术， 包括 Looker 过滤条件。您可以在功能块中创建以下类型的过滤条件：

• 标准过滤条件使用预定义或自定义字段创建过滤条件。您可以使用 修改图块对话框的滤镜部分。
• 自定义过滤器 Looker 表达式：指定详细的业务逻辑，并将二者相结合 AND 和 OR 逻辑，或使用 Looker 函数。点击修改功能块对话框的过滤条件部分中的自定义表达式按钮。

某些预定义字段可用于过滤条件。只有当数据模型包含预定义的仅限过滤条件的字段时，这些字段才会显示在所有字段部分下。

要向功能块添加滤镜，请完成以下步骤：

1. 打开现有信息中心进行修改或创建新的信息中心。
2. 打开要修改的功能块。
3. 在所有字段部分下，点击每个字段名称旁边的 filter_list按字段过滤，选择要用作过滤条件的字段。

4. 在过滤条件部分，您可以执行以下任一操作：

   • 为过滤条件部分中列出的每个字段定义过滤条件。
   • 点击自定义表达式，然后在自定义过滤条件字段中添加值。

5. 点击 Run 更新可视化预览。

解决特定应用场景的示例

以下部分介绍了如何创建支持特定用例的可视化图表。

创建用于显示 IOC 类型的功能块

请按照以下步骤将功能块添加到信息中心，以监控 IOC 类型：

1. 打开要修改的现有信息中心或创建新信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 IOC 匹配。
4. 输入功能块名称。
5. 选择以下维度：Ioc 类型和事件时间戳日期 > 日期。
6. 选择以下测量：计数。
7. 在正在使用标签页中，将光标悬停在 Date Event Timestamp Date 字段上，然后选择 filter_list 按字段过滤。这会将该字段添加到过滤条件部分。
8. 在过滤条件部分，应用您要使用的过滤条件。
9. 在可视化部分，选择列图标。

10. 在数据部分中，执行以下操作：

    • 点击 Ioc Matches Count 标题，按升序或降序排列字段。
    • 将行数上限设置为一个值（例如 50），以限制可视化图表中显示的行数。

11. 配置图块后，点击运行以预览可视化图表 Google Security Operations 数据。预览会显示 IOC 类型，具体方法是根据 IOC 与事件时间戳日期的匹配情况。

    下图显示了使用这些步骤创建的图表示例。

    

12. 点击保存。

信息中心页面随即会显示新添加的功能块。

创建包含枚举字段的功能块

Google 安全运营 SIEM 统一数据模型包含多个枚举字段， 以文本和数字形式存储的值。与每个枚举字段关联的值可在 UDM 字段列表中找到。

在某些探索中，枚举字段文本值和数字值存储在单独的字段中。例如，对于字段 metadata.event_type 其中一个枚举值为 FILE_CREATION，相关编号为 14001。

在探索中，以下字段存储 metadata.event_type 值：

• metadata.event_type 存储数值 14001。
• metadata.event_type_enum_name 存储文本值 FILE_CREATION。

向功能块添加枚举字段时，请添加存储文本值的字段，而不是 数字。

请按照以下说明向信息中心添加包含枚举字段的功能块：

1. 打开要修改的现有信息中心或创建新信息中心。
2. 点击添加 >可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入功能块名称。
5. 在查找字段中，搜索 UDM 字段，例如 metadata.event_type。
6. 从维度中，选择 metadata.event_type_enum_name 和 security_result.action_enum_name。
7. 从 Measures（测量）中，选择 Count（计数）。
8. 在正在使用标签页中，将指针悬停在 security_result.action_enum_name 字段上，然后选择 filter_list按字段过滤。这将在过滤条件部分中显示所选字段的过滤条件。
9. 在过滤条件部分，选择等于，然后选择屏蔽作为值。
10. 在可视化部分，选择表格图标。

11. 在数据部分中，执行以下操作：

    • 点击 UDM 计数标题，按升序或降序对字段进行排序。
    • 将行数上限设置为一个值（如 50），以限制可视化图表中显示的行。

12. 点击运行，使用 Google Security Operations 数据预览可视化结果。此时，系统会显示预览，按计数显示 metadata.event_type 值。 其中，security_result.action_enum 名称为 BLOCK。

    下图显示了通过这些步骤创建的图表的示例。

    

13. 点击保存。

系统会显示信息中心页面，其中包含新添加的功能块。

在数据表格中使用数据透视表

您可以使用数据透视来显示多个维度的事件数。

以下功能块会显示 metadata.event_type_enum_name 和 security_result_action_enum_name 字段中各个值的事件数。在此示例中，对 security_result_action_enum_name 字段应用了数据透视。

请完成以下步骤，创建包含数据透视表的数据表：

1. 打开要修改的现有信息中心或创建新信息中心。
2. 点击添加 >可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入图块名称。
5. 选择维度字段 metadata.event_type_enum_name 和 security_result_action_enum_name。
6. 选择测量字段 Count。
7. 在过滤条件部分，创建以下过滤条件：
   • UDM metadata_event_timestamp 是过去 2 小时内。
   • UDM security_result.action_enum_name 不为 null。
8. 在使用中标签页下，检查是否显示了以下字段。如果缺少任何信息，请重复前面的步骤来配置功能块。
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 在数据部分，点击 security_result.action_enum_name 列标题中的 settings 图标，然后选择数据透视。
10. 网格中的“数据”下方会显示一个新行。
11. 在可视化部分，选择表格图标。
12. 点击运行，以显示可视化图表的预览。

下图显示了 Edit Tile 对话框中的这些配置选项。

数据表格中数据透视表的配置选项

使用数据透视和日期字段来创建时间图表

您可以使用数据透视和日期字段来创建时间图表。以下功能块会显示 security_result_action_enum_name 字段中值的每小时事件数。

在此示例中，对 security_result_action_enum_name 字段应用了数据透视。此过滤条件可限制日期范围，并滤除security_result_action_enum_name 值为 null。它使用预定义的 metadata.event_timestamp Hour 日期字段 按小时划分数据

如需将数据透视用于数据字段，请执行以下操作：

1. 打开要修改的现有信息中心或创建新信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入图块名称。
5. 选择维度字段：metadata.event_timestamp Hour 和 security_result_action_enum_name。
6. 选择测量字段：Count。
7. 在过滤条件部分，创建以下过滤条件：
   • UDM metadata_event_timestamp 在范围内，然后选择开始日期和结束日期及时间。
   • UDM security_result.action_enum_name 不为 null。
8. 在正在使用标签页下，检查是否显示了以下字段。如果有 请重复前面的步骤来配置功能块。
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 在数据部分，点击 security_result.action_enum_name 列标题中的 settings 图标，然后选择数据透视。数据网格中会显示一条新行。
10. 在可视化部分，选择表格图标。
11. 点击运行，以显示可视化图表的预览。

下图显示了 Edit Tile 对话框中的这些配置选项。

日期字段中数据透视表的配置选项

创建包含详细时间戳测量的图表

您可以创建一个图表，其中包含每种日志类型的事件数以及最早 (min) 和最近 (max) 的事件时间戳。此图表使用 metadata.product_name 字段来标识日志类型。

如需创建包含 min 或 max 时间戳的图表，请按以下步骤操作：

1. 打开现有信息中心进行修改 或创建新的信息中心。

2. 点击添加 >可视化图表。

3. 在选择探索对话框中，选择 UDM 事件。

4. 输入图块名称。

5. 选择维度字段：metadata.product_name。

6. 选择 Measure 字段：Count、metadata.event_timestamp (min) Date、 metadata.event_timestamp (max) Date。

7. 点击 Run 预览可视化图表。 系统会显示预览，其中以日期格式显示 metadata.event_timestamp (min) Date 和 metadata.event_timestamp (max) Date 值。

8. 点击保存。此时将显示信息中心页面，其中包含新添加的图表。该图表包含包含值的 metadata.product_name、UDM、metadata.event_timestamp (min) Date 和 metadata.event_timestamp (max) Date 列。