Diagrammvisualisierung zu einem Dashboard hinzufügen

Wenn Sie einem Dashboard ein Diagramm oder eine andere Visualisierung hinzufügen möchten, verwenden Sie eine Visualisierungs-Kachel. In der Visualisierungskachel werden Daten aus der zugehörigen LookML-Ansicht (Explore) angezeigt, die Sie beim Erstellen der Kachel auswählen. In diesem Dokument wird Folgendes beschrieben:

• Diagramme und andere Visualisierungen mit der Visualisierungskachel erstellen
• Wie Sie Datenvisualisierungen erstellen, die bestimmte Anwendungsfälle abdecken.

Vorgehensweise – Übersicht

Auf übergeordneter Ebene führen Sie die folgenden Aktionen aus, um eine Visualisierung in einem Dashboard zu erstellen:

1. Fügen Sie dem Dashboard eine Visualisierungskachel hinzu.
2. Wählen Sie das Explore aus. Ein Explore ist ein Ausgangspunkt für die neue Kachel und stellt ein bestimmtes Datenmodell dar.
3. Wählen Sie Datenfelder für die Visualisierung aus. Vordefinierte Felder sind in einen der folgenden Typen unterteilt:
   • Dimensionen: Attribute der Daten, die Daten beschreiben. Beispiel: Die Quadratmeterzahl und das Baumaterial eines Museums sind unterschiedliche Dimensionen in einem Museums-Dataset.
   • Messwerte: numerische Darstellung einer oder mehrerer Dimensionen oder eindeutiger Attribute der Daten, z. B. Anzahl oder Durchschnitt.
   • Nur-Filter-Felder: Vordefinierte Felder, die nur in einem Filter verwendet werden können.
4. Optional können Sie der Kachel benutzerdefinierte Felder hinzufügen, die einen bestimmten Anwendungsfall unterstützen.
5. Konfigurieren Sie die Kachel, indem Sie Folgendes auswählen:
   • Visualisierung: Hier werden die ausgewählten Felder visuell dargestellt. Ein Liniendiagramm kann beispielsweise Trends im Zeitverlauf darstellen.
   • Filter: Mit Filtern können Sie die Visualisierung auf die gewünschten Daten beschränken. Jedes Feld in einem Explore kann zum Erstellen eines Filters verwendet werden.
6. Führen Sie die Visualisierung aus, um eine Vorschau der Ergebnisse zu sehen.
7. Speichern Sie die Visualisierungskachel.

In den folgenden Abschnitten dieses Dokuments finden Sie detailliertere Informationen zum Konfigurieren der einzelnen Komponenten in einem Visualisierungskachel.

Beispiel: Datentabelle erstellen

In den folgenden Schritten wird genauer beschrieben, wie Sie eine Datentabelle mit einer Visualisierungskachel erstellen. Außerdem werden die Konfigurationsoptionen im Dialogfeld Kachel bearbeiten erläutert.

1. Wählen Sie unter Persönliche Dashboards oder Geteilte Dashboards ein Dashboard aus und klicken Sie dann auf more_vert Dashboard-Aktionen > Dashboard bearbeiten.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie ein Explore-Datenmodell aus. Das Dialogfeld Kachel bearbeiten wird angezeigt.
4. Geben Sie einen eindeutigen Kachelnamen ein.
5. Wählen Sie unter Alle Felder die vordefinierten Felder Dimensionen und Messwerte aus. Normalerweise müssen Sie mindestens zwei Felder auswählen, um eine Visualisierung zu erstellen. Die ausgewählten Felder werden im Bereich Daten angezeigt.
6. Optional: Erstellen und fügen Sie alle benutzerdefinierten Felder hinzu, die für die Visualisierung erforderlich sind. Sie werden im Bereich Daten angezeigt.
7. Wählen Sie im Bereich Visualisierung die Option Tabelle als Visualisierungstyp aus. In der Visualisierung werden die ausgewählten Datenfelder in der Tabelle dargestellt.
8. Definieren Sie im Bereich Filter Filter, mit denen die Visualisierung auf die gewünschten Daten beschränkt wird. Jedes Feld in einem Explore kann zum Erstellen eines Filters verwendet werden.
9. Führen Sie im Bereich Daten folgende Schritte aus:
   • Klicken Sie auf Feldüberschrift untersuchen, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
   • Mit Zeilenlimit können Sie die Anzahl der in der Visualisierung angezeigten Zeilen begrenzen.
10. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit Google Security Operations SIEM-Daten zu sehen.
11. Klicken Sie auf Speichern. Das Dashboard wird mit der neu hinzugefügten Kachel angezeigt.

Auf dem folgenden Bild sehen Sie, wo Sie diese Schritte im Dialogfeld Kachel bearbeiten ausführen.

Dialogfeld zum Bearbeiten von Kacheln mit Konfiguration

Explore-Datenmodell auswählen

Google Security Operations SIEM bietet mehrere Datenmodelle, mit denen Sie ein Dashboard erstellen können. Jedes Datenmodell ist ein Looker-Explore, in dem eine Teilmenge von UDM-Feldern definiert wird.

Ein Explore ist ein Ausgangspunkt beim Erstellen eines neuen Visualisierungskachels. Es wurde entwickelt, um ein bestimmtes Datenmodell zu untersuchen. Sie wählen für jede Visualisierungskachel ein Explore für das Datenmodell aus.

Google Security Operations SIEM bietet die folgenden Explores für das Datenmodell:

• Entitätsdiagramm
• IOC-Übereinstimmungen
• Aufnahmemesswert mit Aufnahmestatistiken
• Messwerte für die Datenaufnahme
• Aufnahmestatistiken
• Regelerkennungen
• Regelsätze mit erkannten Verstößen
• UDM-Ereignisse
• UDM-Ereignisaggregate

Optional können Sie benutzerdefinierte Felder erstellen, die nur für die Kachel verwendet werden, auf der sie erstellt wurden.

Felder für die Diagrammvisualisierung auswählen

Nachdem Sie den Explore für eine Kachel ausgewählt haben, werden die vordefinierten UDM-Felder im Dialogfeld Explore auf dem Tab Alle Felder angezeigt.

Nachdem Sie Felder auf dem Tab Alle Felder ausgewählt haben, werden sie sowohl auf dem Tab Wird verwendet als auch im Bereich Daten angezeigt. In den folgenden Unterabschnitten werden die Feldtypen beschrieben, die Sie zum Erstellen einer Diagrammvisualisierung auswählen können.

Vordefinierte Felder

Jedes Explore enthält einen anderen Satz vordefinierter UDM-Felder. Die vordefinierten Felder, die in der Kachel verfügbar sind, sind spezifisch für das Datenmodell, das Sie im Dialogfeld Explore auswählen auswählen.

Vordefinierte Felder sind in die folgenden Typen unterteilt:

• Dimensionen
• Messungen
• Nur-Filter-Felder

Die Symbole neben den einzelnen Feldern liefern mehr Informationen und geben die verfügbaren Optionen an, z. B. Nach Feld filtern, Daten pivotieren, Aggregieren, Klassieren oder Gruppieren. Klicken Sie auf das Symbol Info, um den Hilfetext für das Feld aufzurufen. Diese Symbole sind sichtbar, wenn Sie den Mauszeiger auf ein Feld bewegen. Weitere Informationen finden Sie unter Feldspezifische Informationen und Aktionen.

Sie können vordefinierte Felder verwenden, um benutzerdefinierte Dimensionen und Messwerte zu erstellen, Tabellenkalkulationen zu erstellen und Filter auf die Kachel anzuwenden.

Eine explorative Datenanalyse kann eingestellte Felder enthalten, die nicht mehr unterstützt werden. Eingestellte Felder werden durch einen Feldnamen gefolgt von [D] gekennzeichnet.

Bestimmte Datenmodelle enthalten vordefinierte Nur-Filter-Felder, die nur in einem Filter verwendet werden können. Die Nur-Filter-Felder in einem Datenmodell können einen oder mehrere der folgenden Feldtypen enthalten:

• Einzelne UDM-Felder
• Gruppierte UDM-Felder

Einige Explore-Datenmodelle, z. B. UDM Events, enthalten detailliertere Messwerte für Felder, in denen ein Zeitstempel gespeichert ist (z. B. principal.artifact.first_seen_time und security_result.about.file.last_modification_time).

Bei diesen Messwerten wird der Zeitstempel in detailliertere Einheiten unterteilt, z. B. Stunde, Tag, Woche oder Jahr. Das Modell liefert auch einen Mindest- und Höchstwert für jede Steigerung. So können Sie detailliertere Diagramme erstellen, in denen die Anzahl der Ereignisse nach Zeit und Zeitinkrementen aggregiert wird.

Benutzerdefinierte Felder

Benutzerdefinierte Felder sind Felder, die Sie mithilfe der vordefinierten Felder im Datenmodell für die Kachel erstellen. Die benutzerdefinierten Felder können nur in dieser Kachel verwendet werden.

Sie können die folgenden Arten von benutzerdefinierten Feldern erstellen:

• Benutzerdefinierte Dimensionen
• Benutzerdefinierte Maßnahmen
• Ausdrücke für benutzerdefinierte Tabellen

Wenn Sie im Dialogfeld Kachel bearbeiten auf das Menü „Benutzerdefinierte Felder“ zugreifen möchten, klicken Sie im Bereich Alle Felder > Benutzerdefinierte Felder auf + Hinzufügen. Die folgende Abbildung zeigt die Menüposition.

Benutzerdefinierte Dimension erstellen

Benutzerdefinierte Dimensionen sind eindeutige Attribute, mit denen Sie Daten beschreiben können. Beispiel: Die Verkettung von Vor- und Nachname eines Nutzers kann eine benutzerdefinierte Dimension sein.

So fügen Sie einer Kachel benutzerdefinierte Dimensionen hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen > Benutzerdefinierte Dimension. Das Dialogfeld Benutzerdefinierte Dimension erstellen wird angezeigt.
4. Führen Sie im Dialogfeld Benutzerdefinierte Dimension erstellen die folgenden Schritte aus:
   1. Geben Sie im Feld Ausdruck einen Looker-Ausdruck ein, der den Wert mit einer beliebigen Looker-Funktion und einem beliebigen Looker-Operator definiert. Der Looker-Ausdruckseditor schlägt Feldnamen vor und zeigt Syntaxhilfe für alle verwendeten Funktionen an. Hier einige Beispiele:
      • Verkettet den Namen des IOC-Feeds und den IOC-Wert. Sie können dieses Beispiel nur im Explore IOC Matches verwenden. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Gibt den ersten Wert zurück, der nicht leer ist. Die Reihenfolge ist Hostname und dann IP-Adresse. Wenn keines der beiden vorhanden ist, wird _ angezeigt. Sie können dieses Beispiel nur im Entity Graph-Explore verwenden. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Wählen Sie im Menü Format ein Format aus.
   3. Geben Sie im Feld Name den Namen der benutzerdefinierten Dimension an. Dieser Wert wird auf dem Tab Alle Felder und in der Tabelle Daten angezeigt.
   4. Wählen Sie + Beschreibung hinzufügen aus, um im Feld Beschreibung eine Beschreibung hinzuzufügen.
   5. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie eine benutzerdefinierte Dimension auswählen, um sie der Kachel hinzuzufügen oder daraus zu entfernen.

Benutzerdefinierte Messungen erstellen

Messwerte sind eine numerische Darstellung einer oder mehrerer Dimensionen (oder eindeutiger Attribute der Daten), z. B. eine Anzahl oder ein Durchschnitt. Mithilfe von Ergebnissen können Sie Leistungskennzahlen (KPIs) berechnen und Daten anhand verschiedener aggregierter Attribute analysieren.

Mit benutzerdefinierten Messwerten können Sie eine bestimmte numerische Berechnung für ein Feld definieren. Je nach Feldtyp sind nur bestimmte Arten von Messwerten verfügbar.

So fügen Sie einer Kachel eine benutzerdefinierte Messung hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen und wählen Sie Benutzerdefinierte Messwerte aus. Das Dialogfeld Benutzerdefinierten Messwert erstellen wird angezeigt.

4. Führen Sie im Dialogfeld Benutzerdefinierte Messung erstellen die folgenden Schritte aus:

   1. Wählen Sie im Menü Zu messendes Feld ein Feld aus.
   2. Wählen Sie im Menü Messwerttyp einen Messwerttyp aus.
   3. Geben Sie im Feld Name einen Namen an. Der Name wird im Field Picker und in der Datentabelle angezeigt.

   4. Führen Sie auf dem Tab Filter folgende Schritte aus:

      1. Wenn Sie eine Filterbedingung hinzufügen möchten, wählen Sie im Menü Filtername ein Feld aus. Mit den Schaltflächen add_circle_outline und remove_circle_outline Filterwert können Sie Filterbedingungen hinzufügen bzw. entfernen.
      2. Sie können den Pfeil neben Benutzerdefinierter Filter auswählen, um einen Ausdruck für einen benutzerdefinierten Filter mit einer beliebigen Looker-Funktion und einem beliebigen Looker-Operator zu erstellen, die in benutzerdefinierten Filtern verwendet werden können. Der Looker-Ausdruckseditor schlägt Feldnamen vor und zeigt Syntaxhilfe für alle verwendeten Funktionen an. Hier einige Beispiele:
         • Misst IOC-Feedprotokolle für eindeutige Werte. Sie können dieses Beispiel nur im Explore IOC Matches verwenden. ${ioc_matches.feed_log_type} != ""
         • Messung von IOC-Tages-Bucket-Sekunden: ${ioc_matches.day_bucket_seconds}

   5. Führen Sie auf dem Tab Felddetails folgende Schritte aus:

      • Wählen Sie im Menü Format ein Format aus.
      • Optional können Sie im Feld Beschreibung eine Beschreibung mit bis zu 255 Zeichen hinzufügen, um anderen Nutzern zusätzliche Informationen zum benutzerdefinierten Feld zu geben.

   6. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie das benutzerdefinierte Feld auswählen, das der Kachel hinzugefügt werden soll.

Benutzerdefinierte Tabellenkalkulation erstellen

Mit Tabellenkalkulationen können Sie Ad-hoc-Messwerte erstellen. Sie sind vergleichbar mit Formeln, die in Tabellenkalkulationsprogrammen wie Google Sheets zu finden sind.

Mit Google SecOps haben Sie die Möglichkeit, einer Kachel benutzerdefinierte Berechnungen hinzuzufügen. Diese benutzerdefinierten Tabellenkalkulationen werden mit Looker-Ausdrücken erstellt. Sie können Tabellenkalkulationen nur mit Feldern im Explore erstellen.

So erstellen Sie eine Tabellenkalkulation und fügen sie einer Kachel hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Benutzerdefinierte Felder auf + Hinzufügen > Tabellenkalkulation. Das Dialogfeld Tabellenkalkulation erstellen wird angezeigt.
4. Führen Sie im Dialogfeld Tabellenkalkulation erstellen die folgenden Schritte aus:
   1. Wählen Sie im Menü Berechnung einen Berechnungstyp aus. Es werden standardmäßig die Optionen für einen benutzerdefinierten Ausdruck angezeigt.
   2. Geben Sie im Feld einen Looker-Ausdruck ein, um eine Berechnung zu definieren. Hier sind einige Beispiele für Ausdrücke für Tabellenkalkulationen:
      • Im folgenden Ausdruck wird die Funktion diff hours verwendet, um die Differenz zwischen zwei Zeitstempeln zu berechnen. Sie können dieses Beispiel nur im explorativen Analysetool Rule Detections verwenden. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • Mit dem folgenden Ausdruck werden die IOC-Werte gezählt. Sie können dieses Beispiel nur im explorativen Analysetool IOC Matches verwenden. count(${ioc_matches.ioc_value})
   3. Wählen Sie im Menü Format ein Format aus.
   4. Geben Sie im Feld Name einen Namen für die Berechnung ein.
   5. Wählen Sie + Beschreibung hinzufügen aus, um optional eine Beschreibung hinzuzufügen, die anderen Nutzern mehr Kontext zur Tabellenkalkulation gibt.
   6. Klicken Sie auf Speichern.

Auf dem Tab Alle Felder wird das Feld im Bereich Benutzerdefinierte Felder angezeigt. Wie bei anderen Feldern auch können Sie das Feld für die benutzerdefinierte Berechnung auswählen, um es der Kachel hinzuzufügen oder daraus zu entfernen.

Diagrammtyp für die Visualisierung auswählen

In Visualisierungen werden die Daten grafisch dargestellt, damit Sie Anomalien und Trends leichter erkennen können. Das Google Security Operations SIEM-Dashboard basiert auf der Looker-Technologie, einschließlich Looker-Visualisierungen.

Die folgenden Visualisierungstypen können in Google Security Operations SIEM-Dashboards verwendet werden:

• Optionen für Säulendiagramme
• Optionen für Balkendiagramme
• Optionen für Streudiagramme
• Optionen für Liniendiagramme
• Optionen für Flächendiagramme
• Optionen für Boxplot-Diagramme
• Optionen für Wasserfalldiagramme
• Optionen für Kreisdiagramme
• Optionen für mehrere Ringdiagramme
• Optionen für Trichterdiagramme
• Optionen für Zeitachsendiagramme
• Optionen für Diagramme mit einem einzelnen Wert
• Diagrammoptionen für einzelne Datensätze
• Optionen für Tabellendiagramme
• Optionen für Tabellendiagramme (alt)
• Optionen für Wortwolkendiagramme
• Diagrammoptionen in Google Maps
• Optionen für Kartendiagramme
• Optionen für statische Karten (Regionen)
• Diagrammoptionen für statische Karten (Punkte)

Mit der Schaltfläche Ausführen im Dialogfeld Kachel bearbeiten können Sie eine Vorschau mit den ausgewählten Feldern und dem ausgewählten Visualisierungstyp anzeigen lassen. Aktualisieren Sie die Vorschau, nachdem Sie die Kachelkonfiguration angepasst und geändert haben, indem Sie auf Ausführen klicken.

Felder als Filter auswählen

Mit Filtern können Sie die in der Visualisierung angezeigten Daten auf Elemente beschränken, die für Sie von Interesse sind. Sie erstellen Filter mit Feldern im Explore-Datenmodell.

Das Google Security Operations SIEM-Dashboard basiert auf der Looker-Technologie, einschließlich Looker-Filtern. Sie können die folgenden Arten von Filtern in einer Kachel erstellen:

• Mit Standardfiltern werden Filter mit vordefinierten oder benutzerdefinierten Feldern erstellt. Definieren Sie diese Filter im Dialogfeld Kachel bearbeiten im Bereich Filter.
• Benutzerdefinierte Filter mit Looker-Ausdrücken: Sie können detaillierte Geschäftslogik angeben, sowohl AND- als auch OR-Logik kombinieren oder Looker-Funktionen verwenden. Klicken Sie im Dialogfeld Kachel bearbeiten im Bereich Filter auf die Schaltfläche Benutzerdefinierter Ausdruck.

Bestimmte vordefinierte Felder können in einem Filter verwendet werden. Diese Felder werden nur dann im Bereich Alle Felder angezeigt, wenn das Datenmodell vordefinierte Nur-Filter-Felder enthält.

So fügen Sie einer Kachel einen Filter hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Öffnen Sie eine Kachel zum Bearbeiten.
3. Wählen Sie im Bereich Alle Felder die Felder aus, die Sie als Filter verwenden möchten. Klicken Sie dazu neben jedem Feldnamen auf filter_list Nach Feld filtern.

4. Im Bereich Filter haben Sie folgende Möglichkeiten:

   • Definieren Sie die Filterbedingungen für jedes Feld, das im Bereich Filter aufgeführt ist.
   • Klicken Sie auf Benutzerdefinierter Ausdruck und fügen Sie Werte in das Feld Benutzerdefinierter Filter ein.

5. Klicken Sie auf Ausführen, um die Vorschau der Visualisierung zu aktualisieren.

Beispiele für bestimmte Anwendungsfälle

In den folgenden Abschnitten wird beschrieben, wie Sie Visualisierungen für bestimmte Anwendungsfälle erstellen.

Kachel erstellen, auf der IOC-Typen angezeigt werden

So fügen Sie dem Dashboard eine Kachel hinzu, um IOC-Typen zu überwachen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option IOC-Übereinstimmungen aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die folgenden Dimensionen aus: Ioc Type und Event Timestamp Date > Date.
6. Wählen Sie die folgenden Messungen aus: Anzahl.
7. Bewegen Sie auf dem Tab Wird verwendet den Mauszeiger auf das Feld Datum des Zeitstempels für das Datumsereignis und wählen Sie dann filter_list Nach Feld filtern aus. Das Feld wird dem Abschnitt Filter hinzugefügt.
8. Wenden Sie im Bereich Filter die Filterbedingungen an, die Sie verwenden möchten.
9. Wählen Sie im Bereich Visualisierung das Symbol Spalte aus.

10. Führen Sie im Abschnitt Daten folgende Schritte aus:

    • Klicken Sie auf die Überschrift Anzahl der IOC-Übereinstimmungen, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Legen Sie für Zeilenlimit einen Wert fest, z. B. 50, um die in der Visualisierung angezeigten Zeilen zu begrenzen.

11. Nachdem Sie die Kachel konfiguriert haben, klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit Google SecOps-Daten zu sehen. Die Vorschau wird mit den IOC-Typen nach IOC-Übereinstimmungen mit dem Datum des Ereigniszeitstempels angezeigt.

    Das folgende Bild zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.

    

12. Klicken Sie auf Speichern.

Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.

Kachel mit aufgezählten Feldern erstellen

Das Unified Data Model von Google Security Operations SIEM enthält mehrere aufgezählte Felder mit Werten, die sowohl als Text als auch als Zahlen gespeichert sind. Die Werte, die mit den einzelnen Enum-Feldern verknüpft sind, finden Sie in der UDM-Feldliste.

In einigen explorativen Analysen werden der Textwert und der numerische Wert des Enum-Felds in separaten Feldern gespeichert. Für das Feld metadata.event_type ist beispielsweise einer der Enum-Werte FILE_CREATION und die zugehörige Zahl ist 14001.

In einem Explore werden die metadata.event_type-Werte in den folgenden Feldern gespeichert:

• metadata.event_type speichert den numerischen Wert 14001.
• In metadata.event_type_enum_name wird der Textwert FILE_CREATION gespeichert.

Wenn Sie einer Kachel ein Aufzählungsfeld hinzufügen, fügen Sie das Feld mit dem Textwert und nicht mit der Zahl hinzu.

So fügen Sie einem Dashboard eine Kachel mit aufgezählten Feldern hinzu:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Suchen Sie unter Feld suchen nach einem UDM-Feld, z. B. metadata.event_type.
6. Wählen Sie unter Dimensionen die Optionen metadata.event_type_enum_name und security_result.action_enum_name aus.
7. Wählen Sie unter Messwerte die Option Anzahl aus.
8. Bewegen Sie auf dem Tab Wird verwendet den Mauszeiger auf das Feld security_result.action_enum_name und wählen Sie dann filter_listNach Feld filtern aus. Die Filter des ausgewählten Felds werden im Bereich Filter angezeigt.
9. Wählen Sie im Bereich Filter die Option ist gleich und dann BLOCK als Werte aus.
10. Wählen Sie im Bereich Visualisierung das Symbol Tabelle aus.

11. Führen Sie im Abschnitt Daten folgende Schritte aus:

    • Klicken Sie auf die Überschrift UDM Count, um die Felder in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Legen Sie für Zeilenlimit einen Wert fest, z. B. 50, um die in der Visualisierung angezeigten Zeilen zu begrenzen.

12. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung mit Google SecOps-Daten zu sehen. In der Vorschau werden die Werte für metadata.event_type nach Anzahl angezeigt, wobei der Name security_result.action_enum BLOCK ist.

    Das folgende Bild zeigt ein Beispiel für das Diagramm, das mit diesen Schritten erstellt wurde.

    

13. Klicken Sie auf Speichern.

Die Seite Dashboards wird mit der neu hinzugefügten Kachel angezeigt.

Pivot in einer Datentabelle verwenden

Mit einem Pivot können Sie die Anzahl der Ereignisse für mehrere Dimensionen darstellen.

In der folgenden Kachel wird die Anzahl der Ereignisse für die Werte in den Feldern metadata.event_type_enum_name und security_result_action_enum_name angezeigt. In diesem Beispiel wird das Feld security_result_action_enum_name als Pivot verwendet.

Gehen Sie so vor, um diese Datentabelle mit einem Pivot zu erstellen:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die Dimensions-Felder metadata.event_type_enum_name und security_result_action_enum_name aus.
6. Wählen Sie das Feld Messung Count aus.
7. Erstellen Sie im Bereich Filter die folgenden Filter:
   • UDM metadata_event_timestamp in den letzten 2 Stunden.
   • UDM security_result.action_enum_name nicht null ist.
8. Prüfen Sie auf dem Tab Wird verwendet, ob die folgenden Felder angezeigt werden. Wenn etwas fehlt, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
   • metadata.event_timestamp
   • metadata.event_type_enum_name – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Klicken Sie im Bereich Daten in der Spaltenüberschrift security_result.action_enum_name auf das Symbol settings und wählen Sie dann Pivot aus.
10. Im Raster unter Daten wird eine neue Zeile angezeigt.
11. Wählen Sie im Bereich Visualisierung das Symbol Tabelle aus.
12. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.

Das folgende Bild zeigt diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten.

Konfigurationsoptionen für das Pivotieren in einer Datentabelle

Mit einem Pivot mit Datumsfeldern ein Zeitachsendiagramm erstellen

Mit einem Pivot mit Datumsfeldern können Sie ein Zeitachsendiagramm erstellen. Auf der folgenden Kachel werden die stündlichen Ereigniszahlen für Werte in den Feldern security_result_action_enum_name angezeigt.

In diesem Beispiel wird das Feld security_result_action_enum_name als Pivot verwendet. Der Filter schränkt den Datumsbereich ein und filtert Daten heraus, bei denen der security_result_action_enum_name-Wert null ist. Dazu wird das vordefinierte Datumsfeld metadata.event_timestamp Hour verwendet, mit dem Daten nach Stunde partitioniert werden.

So verwenden Sie einen Pivot mit Datenfeldern:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.
2. Klicken Sie auf Hinzufügen > Visualisierung.
3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.
4. Geben Sie einen Kachelnamen ein.
5. Wählen Sie die Dimensions-Felder metadata.event_timestamp Hour und security_result_action_enum_name aus.
6. Wählen Sie das Feld Messung aus: Count.
7. Erstellen Sie im Bereich Filter die folgenden Filter:
   • UDM metadata_event_timestamp liegt im Bereich und wählen Sie dann ein Start- und Enddatum sowie eine Uhrzeit aus.
   • UDM security_result.action_enum_name nicht null ist.
8. Prüfen Sie auf dem Tab Wird verwendet, ob die folgenden Felder angezeigt werden. Wenn etwas fehlt, wiederholen Sie die vorherigen Schritte, um die Kachel zu konfigurieren.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Klicken Sie im Bereich Daten in der Spaltenüberschrift security_result.action_enum_name auf das Symbol settings und wählen Sie dann Pivot aus. Im Datenraster wird eine neue Zeile angezeigt.
10. Wählen Sie im Bereich Visualisierung das Symbol Tabelle aus.
11. Klicken Sie auf Ausführen, um eine Vorschau der Visualisierung aufzurufen.

Das folgende Bild zeigt diese Konfigurationsoptionen im Dialogfeld Kachel bearbeiten.

Konfigurationsoptionen für Pivot in einem Datumsfeld

Diagramm mit detaillierten Zeitstempelmesswerten erstellen

Sie können ein Diagramm mit der Anzahl der Ereignisse für jeden Logtyp sowie dem ältesten (min) und dem neuesten (max) Ereigniszeitstempel erstellen. In diesem Diagramm wird das Feld metadata.product_name verwendet, um den Logtyp zu identifizieren.

So erstellen Sie ein Diagramm mit min- oder max-Zeitstempeln:

1. Öffnen Sie ein vorhandenes Dashboard zum Bearbeiten oder erstellen Sie ein neues Dashboard.

2. Klicken Sie auf Hinzufügen > Visualisierung.

3. Wählen Sie im Dialogfeld Explore auswählen die Option UDM-Ereignisse aus.

4. Geben Sie einen Kachelnamen ein.

5. Wählen Sie das Feld Dimension aus: metadata.product_name.

6. Wählen Sie die Felder Measure (Messung) aus: Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date.

7. Klicken Sie auf Ausführen, um sich die Visualisierung anzusehen. In der Vorschau werden die Werte metadata.event_timestamp (min) Date und metadata.event_timestamp (max) Date im Datumsformat angezeigt.

8. Klicken Sie auf Speichern. Die Seite Dashboards wird mit dem neu hinzugefügten Diagramm angezeigt. Das Diagramm enthält die Spalten metadata.product_name, UDM, metadata.event_timestamp (min) Date und metadata.event_timestamp (max) Date mit Werten.

   Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten