Ajouter une visualisation de graphique à un tableau de bord

Pour ajouter un graphique ou une autre visualisation à un tableau de bord, utilisez une vignette de visualisation. La vignette de visualisation affiche les données de la vue LookML associée, appelée Explorer, que vous sélectionnez lorsque vous créez la vignette. Ce document décrit les éléments suivants:

• Découvrez comment créer des graphiques et d'autres visualisations à l'aide du bloc de visualisation.
• Comment créer des visualisations de données qui répondent à des cas d'utilisation spécifiques.

Présentation du processus

En règle générale, vous effectuez les actions suivantes pour créer une visualisation dans un tableau de bord :

1. Ajoutez une vignette de visualisation au tableau de bord.
2. Sélectionnez l'exploration. Une exploration est le point de départ de la nouvelle tuile et représente un modèle de données spécifique.
3. Sélectionnez les champs de données pour la visualisation. Les champs prédéfinis sont regroupés dans l'un des types suivants :
   • Dimensions : attributs des données qui les décrivent. Exemple : La superficie et le matériau de construction d'un musée sont des dimensions différentes dans un ensemble de données sur les musées.
   • Mesures : représentation numérique d'une ou de plusieurs dimensions, ou attribut unique des données, comme un nombre ou une moyenne.
   • Champs de filtre uniquement : champs prédéfinis qui ne peuvent être utilisés que dans un filtre.
4. Vous pouvez également créer et ajouter des champs personnalisés à la tuile pour prendre en charge un cas d'utilisation spécifique.
5. Configurez le bloc en sélectionnant les éléments suivants :
   • Visualisation : affiche visuellement les champs que vous avez sélectionnés. Par exemple, un graphique en courbes peut montrer les tendances au fil du temps.
   • Filtres : limitez la visualisation pour n'afficher que les données qui vous intéressent. N'importe quel champ d'une exploration peut être utilisé pour créer un filtre.
6. Exécutez la visualisation pour prévisualiser les résultats.
7. Enregistrez la vignette de visualisation.

Les sections suivantes de ce document fournissent des informations plus détaillées sur la configuration de chaque composant dans un bloc de visualisation.

Exemple : Créer une table de données

Les étapes suivantes expliquent plus en détail comment créer un tableau de données à l'aide d'une tuile de visualisation et présentent les options de configuration dans la boîte de dialogue Modifier la tuile.

1. Dans Tableaux de bord personnels ou Tableaux de bord partagés, sélectionnez un tableau de bord, puis cliquez sur more_vert Actions du tableau de bord > Modifier le tableau de bord.
2. Cliquez sur Ajouter > Visualisation.
3. Sélectionnez un modèle de données Explorer. La boîte de dialogue Modifier le bloc s'affiche.
4. Saisissez un nom unique pour la vignette.
5. Dans Tous les champs, sélectionnez les champs prédéfinis : Dimensions et Mesures. En général, vous devez choisir au moins deux champs pour créer une visualisation. Les champs que vous sélectionnez s'affichent dans la section Données.
6. Vous pouvez également créer et ajouter des champs personnalisés nécessaires à la visualisation. Ils s'affichent dans la section Données.
7. Dans la section Visualisation, sélectionnez Table comme type de visualisation. La visualisation affiche les champs de données sélectionnés dans le tableau.
8. Dans la section Filtres, définissez des filtres qui limitent la visualisation pour n'afficher que les données qui vous intéressent. N'importe quel champ d'une exploration peut être utilisé pour créer un filtre.
9. Dans la section Données, procédez comme suit :
   • Cliquez sur Explorer l'en-tête du champ pour trier les champs par ordre croissant ou décroissant.
   • Définissez Limite de lignes pour limiter le nombre de lignes qui s'affichent dans la visualisation.
10. Cliquez sur Exécuter pour prévisualiser la visualisation à l'aide des données Google Security Operations SIEM.
11. Cliquez sur Enregistrer. Le tableau de bord s'affiche avec la vignette nouvellement ajoutée.

L'image suivante indique l'emplacement dans la boîte de dialogue Modifier le bloc où vous devez effectuer ces étapes.

Boîte de dialogue "Modifier le bloc" avec la configuration

Choisir un modèle de données Explore

Google Security Operations SIEM fournit plusieurs modèles de données que vous pouvez utiliser pour créer un tableau de bord. Chaque modèle de données est une exploration Looker qui définit un sous-ensemble de champs UDM.

Une exploration est un point de départ pour créer un bloc de visualisation. Il est conçu pour explorer un modèle de données spécifique. Vous sélectionnez une exploration de modèle de données pour chaque vignette de visualisation.

Google Security Operations SIEM fournit les Explorations de modèle de données suivantes :

• Graphique des entités
• Correspondances IOC
• Métrique d'ingestion avec les statistiques d'ingestion
• Métriques d'ingestion
• Statistiques sur l'ingestion
• Détections de règles
• Ensembles de règles avec détections
• Événements UDM
• Agrégats d'événements UDM

Vous pouvez également créer des champs personnalisés à utiliser uniquement avec la vignette dans laquelle ils sont créés.

Sélectionner des champs pour la visualisation du graphique

Une fois que vous avez sélectionné l'option "Explorer" pour un bloc, les champs UDM prédéfinis s'affichent sous l'onglet Tous les champs de la boîte de dialogue Explorer.

Une fois que vous avez sélectionné des champs dans l'onglet Tous les champs, ils s'affichent à la fois dans l'onglet Utilisés et dans la section Données. Les sous-sections suivantes décrivent les types de champs que vous pouvez choisir pour créer une visualisation de graphique.

Champs prédéfinis

Chaque exploration inclut un ensemble différent de champs UDM prédéfinis. Les champs prédéfinis disponibles dans le bloc sont spécifiques au modèle de données que vous sélectionnez dans la boîte de dialogue Choisir une exploration.

Les champs prédéfinis sont regroupés dans les types suivants :

• Dimensions
• Mesures
• Champs de filtre uniquement

Les icônes situées à côté de chaque champ fournissent davantage d'informations et indiquent les options disponibles, telles que Filtrer par champ, Croiser des données, Agrégat, Bin ou Grouper. Cliquez sur l'icône Info pour afficher le texte d'aide du champ. Ces icônes sont visibles lorsque vous pointez sur un champ. Pour en savoir plus, consultez Informations et actions spécifiques aux champs.

Vous pouvez utiliser des champs prédéfinis pour créer des dimensions et des mesures personnalisées, créer des calculs de tableau et appliquer des filtres au bloc.

Une exploration peut inclure des champs obsolètes qui ne sont plus acceptés. Les champs obsolètes sont identifiés par un nom de champ suivi de [D].

Certains modèles de données incluent des champs de filtre uniquement prédéfinis qui ne peuvent être utilisés que dans un filtre. Les champs de filtre uniquement d'un modèle de données peuvent inclure un ou plusieurs des types de champs suivants :

• Champs UDM individuels
• Champs UDM regroupés

Certains modèles de données Explore, tels que Événements UDM, incluent des mesures plus précises pour les champs qui stockent un code temporel (par exemple, principal.artifact.first_seen_time et security_result.about.file.last_modification_time).

Ces mesures divisent le code temporel en incréments plus précis, comme l'heure, le jour, la semaine ou l'année. Le modèle fournit également une mesure minimale et maximale pour chaque incrément. Cela vous permet de créer des graphiques plus détaillés qui agrègent le nombre d'événements en fonction du temps et des incréments de temps.

Champs personnalisés

Les champs personnalisés sont des champs que vous créez à l'aide des champs prédéfinis disponibles dans le modèle de données du bloc. Les champs personnalisés ne peuvent être utilisés que dans cette vignette.

Vous pouvez créer les types de champs personnalisés suivants :

• Dimensions personnalisées
• Mesures personnalisées
• Expressions de tableaux personnalisés

Pour accéder au menu des champs personnalisés dans la boîte de dialogue Modifier le bloc, cliquez sur + Ajouter sous la section Tous les champs > Champs personnalisés. L'image suivante montre l'emplacement du menu.

Créer une dimension personnalisée

Les dimensions personnalisées sont des attributs uniques qui vous aident à décrire les données. Par exemple, la concaténation du prénom et du nom d'un utilisateur peut être une dimension personnalisée.

Pour ajouter une dimension personnalisée à une vignette :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une vignette pour la modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier le bloc, cliquez sur + Ajouter > Dimension personnalisée. La boîte de dialogue Créer une dimension personnalisée s'affiche.
4. Dans la boîte de dialogue Créer une dimension personnalisée, procédez comme suit :
   1. Dans le champ Expression, saisissez une expression Looker qui définit la valeur à l'aide d'une fonction et d'un opérateur Looker. L'éditeur d'expressions Looker suggère des noms de champs et affiche une aide sur la syntaxe pour toutes les fonctions que vous utilisez. Voici quelques exemples d'expressions :
      • Concatène le nom du flux d'IOC et la valeur d'IOC. Vous ne pouvez utiliser cet exemple que dans l'explorateur Correspondances d'IOC. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Renvoie la première valeur non vide. L'ordre est le suivant : nom d'hôte, puis adresse IP. Si aucun de ces éléments n'existe, _ s'affiche. Vous ne pouvez utiliser cet exemple que dans l'explorateur Graphique d'entités. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Sélectionnez un format dans le menu Format.
   3. Saisissez le nom de la dimension personnalisée dans le champ Nom. Cette valeur s'affichera dans l'onglet Tous les champs et dans le tableau Données.
   4. Sélectionnez + Ajouter une description pour ajouter une description dans le champ Description.
   5. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner une dimension personnalisée pour l'ajouter ou la retirer de la vignette.

Créer des mesures personnalisées

Les mesures sont une représentation numérique d'une ou de plusieurs dimensions (ou attributs uniques des données), comme un nombre ou une moyenne. Elles vous permettent de calculer vos indicateurs clés de performance (KPI) et aident les utilisateurs à analyser les données à l'aide de différents attributs agrégés.

Les mesures personnalisées vous permettent de définir un calcul numérique spécifique pour un champ. Selon le type de champ, seuls certains types de mesures sont disponibles.

Pour ajouter une mesure personnalisée à une vignette, procédez comme suit :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une vignette pour la modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier le bloc, cliquez sur + Ajouter, puis sélectionnez Mesure personnalisée. La boîte de dialogue Créer une mesure personnalisée s'affiche.

4. Dans la boîte de dialogue Créer une mesure personnalisée, procédez comme suit :

   1. Sélectionnez un champ dans le menu Champ à mesurer.
   2. Sélectionnez un type de mesure dans le menu Type de mesure.
   3. Saisissez un nom dans le champ Nom. Le nom apparaît dans le sélecteur de champs et dans le tableau de données.

   4. Dans l'onglet Filtres, procédez comme suit :

      1. Pour ajouter une condition de filtre, sélectionnez un champ dans le menu Nom du filtre. Vous pouvez ajouter ou supprimer des conditions de filtre à l'aide des boutons add_circle_outline et remove_circle_outline Valeur du filtre, respectivement.
      2. Vous pouvez sélectionner la flèche à côté de Filtre personnalisé pour créer une expression de filtre personnalisé à l'aide de n'importe quelle fonction et opérateur Looker pouvant être utilisés dans les filtres personnalisés. L'éditeur d'expressions Looker suggère des noms de champs et affiche une aide sur la syntaxe pour toutes les fonctions que vous utilisez. Voici quelques exemples d'expressions :
         • Mesure les journaux de flux d'IOC pour les valeurs uniques. Vous ne pouvez utiliser cet exemple que dans l'explorateur Correspondances d'IOC. ${ioc_matches.feed_log_type} != ""
         • Mesure des secondes du bucket de jours de l'IOC : ${ioc_matches.day_bucket_seconds}

   5. Dans l'onglet Détails du champ, procédez comme suit :

      • Sélectionnez un format dans le menu Format.
      • Vous pouvez également ajouter une description de 255 caractères maximum dans le champ Description pour fournir aux autres utilisateurs des informations supplémentaires sur le champ personnalisé.

   6. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner le champ personnalisé à ajouter à la vignette.

Créer un calcul de tables personnalisé

Les calculs de table vous permettent de créer des métriques ad hoc. Elles sont comparables aux formules que l'on trouve dans les outils de type tableurs, tels que Google Sheets.

Google SecOps vous permet d'ajouter des calculs personnalisés à une tuile. Ces calculs de table personnalisés sont créés à l'aide d'expressions Looker. Vous ne pouvez créer des calculs de table qu'à l'aide des champs de l'exploration.

Pour créer un calcul de tableau et l'ajouter à une vignette, procédez comme suit :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une vignette pour la modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier le bloc, cliquez sur + Ajouter > Calcul de tables. La boîte de dialogue Créer un calcul de tables s'affiche.
4. Dans la boîte de dialogue Créer un calcul de table, procédez comme suit :
   1. Sélectionnez un type de calcul dans le menu Calcul. Les options pour une expression personnalisée s'affichent par défaut.
   2. Saisissez une expression Looker dans le champ pour définir un calcul. Voici des exemples d'expressions de calculs de tableaux :
      • L'expression suivante utilise la fonction diff hours pour afficher la différence entre deux codes temporels. Vous ne pouvez utiliser cet exemple que dans l'explorateur Détections de règles. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • L'expression suivante compte les valeurs d'IOC. Vous ne pouvez utiliser cet exemple que dans l'exploration Correspondances d'IOC. count(${ioc_matches.ioc_value})
   3. Sélectionnez un format dans le menu Format.
   4. Saisissez un nom de calcul dans le champ Nom.
   5. Sélectionnez + Ajouter une description pour ajouter une description facultative et donner plus de contexte aux autres utilisateurs concernant le calcul de table.
   6. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner le champ de calcul personnalisé pour l'ajouter ou le retirer de la vignette.

Sélectionnez le type de graphique de visualisation.

Les visualisations affichent les données de manière visuelle pour vous aider à identifier les anomalies et les tendances. Le tableau de bord Google Security Operations SIEM est basé sur la technologie Looker, y compris les visualisations Looker.

Voici les types de visualisations que vous pouvez utiliser dans les tableaux de bord Google Security Operations SIEM :

• Options des graphiques à colonnes
• Options des graphiques à barres
• Options du graphique à nuage de points
• Options des graphiques en courbes
• Options des graphiques en aires
• Options des graphiques en boîte
• Options des graphiques en cascade
• Options des graphiques à secteurs
• Options des graphiques multiples en anneau
• Options des graphiques d'entonnoir
• Options de graphique chronologique
• Options des graphiques à valeur unique
• Options du graphique "Enregistrement unique"
• Options des tableaux
• Options du tableau (ancienne version)
• Options du graphique en nuage de mots
• Options de graphique Google Maps
• Options du graphique cartographique
• Options du graphique "Carte statique (régions)"
• Options du graphique "Carte statique (points)"

Le bouton Exécuter de la boîte de dialogue Modifier le bloc vous permet d'afficher un aperçu à l'aide des champs et du type de visualisation sélectionnés. Actualisez l'aperçu après avoir ajusté et modifié la configuration de la tuile en cliquant sur Exécuter.

Sélectionnez les champs à utiliser comme filtres.

Les filtres vous permettent de restreindre les données affichées dans la visualisation aux seuls éléments qui vous intéressent. Vous créez des filtres à l'aide des champs du modèle de données Explorer.

Le tableau de bord Google Security Operations SIEM est basé sur la technologie Looker, y compris les filtres Looker. Vous pouvez créer les types de filtres suivants dans une vignette :

• Les filtres standards permettent de créer des filtres à l'aide de champs prédéfinis ou personnalisés. Définissez ces filtres dans la section Filtres de la boîte de dialogue Modifier le bloc.
• Filtres personnalisés avec des expressions Looker : spécifiez une logique métier détaillée, combinez la logique AND et OR, ou utilisez des fonctions Looker. Cliquez sur le bouton Expression personnalisée dans la section Filtres de la boîte de dialogue Modifier le bloc.

Certains champs prédéfinis peuvent être utilisés dans un filtre. Ces champs n'apparaissent dans la section Tous les champs que si le modèle de données inclut des champs de filtre uniquement prédéfinis.

Pour ajouter un filtre à une tuile, procédez comme suit :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une vignette pour la modifier.
3. Dans la section Tous les champs, sélectionnez les champs que vous souhaitez utiliser comme filtres en cliquant sur filter_list Filtrer par champ à côté de chaque nom de champ.

4. Dans la section Filtres, vous pouvez :

   • Définissez les conditions de filtrage pour chaque champ listé dans la section Filtres.
   • Cliquez sur Expression personnalisée, puis ajoutez des valeurs dans le champ Filtre personnalisé.

5. Cliquez sur Exécuter pour mettre à jour l'aperçu de la visualisation.

Exemples résolvant des cas d'utilisation spécifiques

Les sections suivantes décrivent comment créer des visualisations qui prennent en charge des cas d'utilisation spécifiques.

Créer une carte affichant les types d'IOC

Pour ajouter une tuile au tableau de bord afin de surveiller les types d'IOC :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Correspondances d'IOC.
4. Saisissez un nom de vignette.
5. Sélectionnez les dimensions suivantes : Type d'IoC et Date du code temporel de l'événement > Date.
6. Sélectionnez les mesures suivantes : Nombre.
7. Dans l'onglet En cours d'utilisation, pointez sur le champ Date d'horodatage de l'événement de date, puis sélectionnez filter_list Filtrer par champ. Le champ est alors ajouté à la section Filtres.
8. Dans la section Filtres, appliquez les conditions de filtre que vous souhaitez utiliser.
9. Dans la section Visualisation, sélectionnez l'icône Colonne.

10. Dans la section Données, procédez comme suit :

    • Cliquez sur l'en-tête Nombre de correspondances d'indicateurs de compromission pour trier les champs par ordre croissant ou décroissant.
    • Définissez la limite de lignes sur une valeur, par exemple 50, pour limiter le nombre de lignes qui s'affichent dans la visualisation.

11. Une fois le bloc configuré, cliquez sur Exécuter pour prévisualiser la visualisation à l'aide des données Google SecOps. L'aperçu s'affiche avec les types d'IOC par correspondance d'IOC par rapport à la date du code temporel de l'événement.

    L'image suivante montre un exemple de graphique créé à l'aide de ces étapes.

    

12. Cliquez sur Enregistrer.

La page Tableaux de bord s'affiche avec le nouveau bloc.

Créer une vignette avec des champs énumérés

Le modèle de données unifié du SIEM Google Security Operations inclut plusieurs champs énumérés avec des valeurs stockées sous forme de texte et de nombres. Les valeurs associées à chaque champ d'énumération sont disponibles dans la liste des champs UDM.

Dans certains Explorers, la valeur textuelle et la valeur numérique du champ enum sont stockées dans des champs distincts. Par exemple, avec le champ metadata.event_type, l'une des valeurs d'énumération est FILE_CREATION et le nombre associé est 14001.

Dans une exploration, les champs suivants stockent les valeurs metadata.event_type :

• metadata.event_type stocke la valeur numérique 14001.
• metadata.event_type_enum_name stocke la valeur textuelle FILE_CREATION.

Lorsque vous ajoutez un champ énuméré à une vignette, ajoutez le champ qui stocke la valeur textuelle au lieu du nombre.

Suivez les instructions ci-dessous pour ajouter un bloc avec des champs énumérés à un tableau de bord :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Événements UDM.
4. Saisissez un nom de vignette.
5. Dans Rechercher un champ, recherchez un champ UDM, tel que metadata.event_type.
6. Dans Dimensions, sélectionnez metadata.event_type_enum_name et security_result.action_enum_name.
7. Dans Mesures, sélectionnez Nombre.
8. Dans l'onglet En cours d'utilisation, pointez sur le champ security_result.action_enum_name, puis sélectionnez filter_listFiltrer par champ. Les filtres du champ sélectionné s'affichent dans la section Filtres.
9. Dans la section Filtres, sélectionnez est égal à, puis BLOCK comme valeur.
10. Dans la section Visualisation, sélectionnez l'icône Table.

11. Dans la section Données, procédez comme suit :

    • Cliquez sur l'en-tête Nombre d'UDM pour trier les champs par ordre croissant ou décroissant.
    • Définissez la limite de lignes sur une valeur (par exemple, 50) pour limiter le nombre de lignes qui s'affichent dans la visualisation.

12. Cliquez sur Exécuter pour prévisualiser la visualisation à l'aide des données Google SecOps. L'aperçu affiche les valeurs metadata.event_type par nombre, où le nom security_result.action_enum est BLOCK.

    L'image suivante montre un exemple de graphique créé à l'aide de ces étapes.

    

13. Cliquez sur Enregistrer.

La page Tableaux de bord s'affiche avec le nouveau bloc.

Utiliser un tableau croisé dynamique dans un tableau de données

Vous pouvez utiliser un tableau croisé dynamique pour afficher le nombre d'événements dans plusieurs dimensions.

La vignette suivante affiche le nombre d'événements pour les valeurs des champs metadata.event_type_enum_name et security_result_action_enum_name. Dans cet exemple, un tableau croisé dynamique est appliqué au champ security_result_action_enum_name.

Pour créer ce tableau de données contenant un tableau croisé dynamique, procédez comme suit :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Événements UDM.
4. Saisissez un nom de vignette.
5. Sélectionnez les champs Dimension metadata.event_type_enum_name et security_result_action_enum_name.
6. Sélectionnez le champ Mesure Count.
7. Dans la section Filtre, créez les filtres suivants :
   • UDM metadata_event_timestamp au cours des deux dernières heures.
   • UDM security_result.action_enum_name n'est pas nul.
8. Dans l'onglet En cours d'utilisation, vérifiez que les champs suivants sont affichés. S'il en manque, répétez les étapes précédentes pour configurer le bloc.
   • metadata.event_timestamp
   • metadata.event_type_enum_name – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Dans la section Données, cliquez sur l'icône settings dans l'en-tête de colonne security_result.action_enum_name, puis sélectionnez Tableau croisé dynamique.
10. Une nouvelle ligne s'affiche dans la grille sous Données.
11. Dans la section Visualisation, sélectionnez l'icône Table.
12. Cliquez sur Exécuter pour afficher un aperçu de la visualisation.

L'image suivante montre ces options de configuration dans la boîte de dialogue Modifier le bloc.

Options de configuration pour le tableau croisé dynamique dans un tableau de données

Utiliser un tableau croisé dynamique avec des champs de date pour créer un graphique chronologique

Vous pouvez utiliser un tableau croisé dynamique avec des champs de date pour créer un graphique chronologique. La vignette suivante affiche le nombre d'événements par heure pour les valeurs des champs security_result_action_enum_name.

Dans cet exemple, un tableau croisé dynamique est appliqué au champ security_result_action_enum_name. Le filtre limite la plage de dates et exclut les données dont la valeur security_result_action_enum_name est null. Il utilise le champ de date metadata.event_timestamp Hour prédéfini qui partitionne les données par heure.

Pour utiliser un tableau croisé dynamique avec des champs de données, procédez comme suit :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Événements UDM.
4. Saisissez un nom de vignette.
5. Sélectionnez les champs Dimension : metadata.event_timestamp Hour et security_result_action_enum_name.
6. Sélectionnez le champ Mesure : Count.
7. Dans la section Filtre, créez les filtres suivants :
   • UDM metadata_event_timestamp est dans la plage, puis sélectionnez une date et une heure de début et de fin.
   • UDM security_result.action_enum_name n'est pas nul.
8. Dans l'onglet En cours d'utilisation, vérifiez que les champs suivants sont affichés. S'il en manque, répétez les étapes précédentes pour configurer le bloc.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Dans la section Données, cliquez sur l'icône settings dans l'en-tête de colonne security_result.action_enum_name, puis sélectionnez Tableau croisé dynamique. Une nouvelle ligne apparaît dans la grille de données.
10. Dans la section Visualisation, sélectionnez l'icône Table.
11. Cliquez sur Exécuter pour afficher un aperçu de la visualisation.

L'image suivante montre ces options de configuration dans la boîte de dialogue Modifier le bloc.

Options de configuration pour le tableau croisé dynamique dans un champ de date

Créer un graphique avec des mesures de code temporel détaillées

Vous pouvez créer un graphique avec le nombre d'événements pour chaque type de journal, ainsi que l'horodatage de l'événement le plus ancien (min) et le plus récent (max). Ce graphique utilise le champ metadata.product_name pour identifier le type de journal.

Pour créer un graphique avec des codes temporels min ou max :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.

2. Cliquez sur Ajouter > Visualisation.

3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Événements UDM.

4. Saisissez un nom de vignette.

5. Sélectionnez le champ Dimension : metadata.product_name.

6. Sélectionnez les champs Mesure : Count, metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date.

7. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation. L'aperçu affiche les valeurs metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date au format de date.

8. Cliquez sur Enregistrer. La page Tableaux de bord s'affiche avec le graphique que vous venez d'ajouter. Le tableau inclut les colonnes metadata.product_name, UDM, metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date avec des valeurs.

   Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.