Ajouter une visualisation de graphique à un tableau de bord

Pour ajouter un graphique ou une autre visualisation à un tableau de bord, utilisez une carte de visualisation. La vignette de visualisation affiche les données de la vue LookML associée, appelée Exploration, que vous sélectionnez lorsque vous créez la vignette. Ce document décrit les éléments suivants:

• Créer des graphiques et d'autres visualisations à l'aide de la carte de visualisation
• Créer des visualisations de données répondant à des cas d'utilisation spécifiques

Présentation du processus

De manière générale, vous procédez comme suit pour créer une visualisation dans un tableau de bord:

1. Ajoutez une vignette de visualisation au tableau de bord.
2. Sélectionnez l'exploration. Une exploration est le point de départ de la nouvelle carte et représente un modèle de données spécifique.
3. Sélectionnez les champs de données pour la visualisation. Les champs prédéfinis sont regroupés dans l'un des types suivants :
   • Dimensions: attributs des données qui les décrivent. Exemple: La superficie et le matériau de construction d'un musée sont différentes dimensions dans un ensemble de données sur les musées.
   • Mesures: représentation numérique d'une ou de plusieurs dimensions, ou d'un attribut unique des données, comme le nombre ou la moyenne.
   • Champs de filtre uniquement: champs prédéfinis qui ne peuvent être utilisés que dans un filtre.
4. Vous pouvez également créer et ajouter des champs personnalisés à la carte pour prendre en charge un cas d'utilisation spécifique.
5. Configurez la carte en sélectionnant les éléments suivants :
   • Visualisation: affiche les champs que vous avez sélectionnés de manière visuelle. Par exemple, un graphique en courbes peut montrer les tendances au fil du temps.
   • Filtres: limitez la visualisation pour n'afficher que les données qui vous intéressent. Vous pouvez utiliser n'importe quel champ d'une exploration pour créer un filtre.
6. Exécutez la visualisation pour prévisualiser les résultats.
7. Enregistrez la vignette de visualisation.

Les sections suivantes de ce document fournissent des informations plus détaillées sur la configuration de chaque composant d'une carte de visualisation.

Exemple: Créer un tableau de données

Les étapes suivantes expliquent plus en détail comment créer un tableau de données à l'aide d'une carte de visualisation et affichent les options de configuration dans la boîte de dialogue Modifier la carte.

1. Dans Tableaux de bord personnels ou Tableaux de bord partagés, sélectionnez un tableau de bord, puis cliquez sur more_vert Actions sur le tableau de bord > Modifier le tableau de bord.
2. Cliquez sur Ajouter > Visualisation.
3. Sélectionnez un modèle de données Exploration. La boîte de dialogue Modifier la carte s'affiche.
4. Saisissez un nom de carte unique.
5. Dans Tous les champs, sélectionnez les champs prédéfinis: Dimensions et Mesures. En règle générale, vous devez choisir au moins deux champs pour créer une visualisation. Les champs que vous sélectionnez s'affichent dans la section Données.
6. Vous pouvez également créer et ajouter les champs personnalisés nécessaires à la visualisation. Elles apparaîtront dans la section Données.
7. Dans la section Visualisation, sélectionnez Table comme type de visualisation. La visualisation affiche les champs de données sélectionnés dans le tableau.
8. Dans la section Filtres, définissez des filtres qui limitent la visualisation pour n'afficher que les données qui vous intéressent. Vous pouvez utiliser n'importe quel champ d'une exploration pour créer un filtre.
9. Dans la section Données, procédez comme suit :
   • Cliquez sur En-tête du champ d'exploration pour trier les champs par ordre croissant ou décroissant.
   • Définissez Limite de lignes pour limiter le nombre de lignes qui s'affichent dans la visualisation.
10. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation à l'aide des données SIEM de Google Security Operations.
11. Cliquez sur Enregistrer. Le tableau de bord s'affiche avec la carte nouvellement ajoutée.

L'image suivante indique l'emplacement dans la boîte de dialogue Edit Tile (Modifier la carte) où vous devez effectuer ces étapes.

Boîte de dialogue de modification de la carte avec configuration

Choisir un modèle de données d'exploration

Google Security Operations SIEM fournit plusieurs modèles de données que vous pouvez utiliser pour créer un tableau de bord. Chaque modèle de données est une exploration Looker qui définit un sous-ensemble de champs UDM.

Une exploration est un point de départ lorsque vous créez une carte de visualisation. Il est conçu pour explorer un modèle de données particulier. Vous sélectionnez une exploration de modèle de données pour chaque carte de visualisation.

Google Security Operations SIEM propose les explorations de modèle de données suivantes:

• Graphique des entités
• Correspondances IoC
• Métrique d'ingestion avec statistiques d'ingestion
• Métriques d'ingestion
• Statistiques d'ingestion
• Détections de règles
• Ensembles de règles avec détections
• Événements UDM
• Agrégations des événements UDM

Vous pouvez éventuellement créer des champs personnalisés à utiliser uniquement avec la carte où ils sont créés.

Sélectionner des champs pour la visualisation du graphique

Une fois que vous avez sélectionné l'exploration d'une carte, les champs UDM prédéfinis s'affichent sous l'onglet Tous les champs de la boîte de dialogue Explorer.

Une fois que vous avez sélectionné des champs dans l'onglet Tous les champs, ils apparaissent à la fois dans l'onglet Utilisés et dans la section Données. Les sous-sections suivantes décrivent les types de champs que vous pouvez choisir pour créer une visualisation de graphique.

Champs prédéfinis

Chaque exploration inclut un ensemble différent de champs UDM prédéfinis. Les champs prédéfinis disponibles dans la carte sont spécifiques au modèle de données que vous sélectionnez dans la boîte de dialogue Choisir une exploration.

Les champs prédéfinis sont regroupés dans les types suivants:

• Dimensions
• Mesures
• Champs de filtre uniquement

Les icônes à côté de chaque champ fournissent plus d'informations et indiquent les options disponibles, telles que Filtrer par champ, Croiser des données, Agréger, Biner ou Grouper. Cliquez sur l'icône Info pour afficher le texte d'aide du champ. Ces icônes sont visibles lorsque vous maintenez le pointeur sur un champ. Pour en savoir plus, consultez la section Informations et actions spécifiques aux champs.

Vous pouvez utiliser des champs prédéfinis pour créer des dimensions personnalisées, des mesures personnalisées, des calculs de table et appliquer des filtres à la carte.

Une exploration peut inclure des champs obsolètes qui ne sont plus acceptés. Les champs obsolètes sont identifiés par un nom de champ suivi de [D].

Certains modèles de données incluent des champs de filtre uniquement prédéfinis qui ne peuvent être utilisés que dans un filtre. Les champs de filtre uniquement d'un modèle de données peuvent inclure un ou plusieurs des types de champs suivants:

• Champs UDM individuels
• Champs UDM groupés

Certains modèles de données Explore, tels que les événements UTM, incluent des mesures plus précises pour les champs qui stockent un code temporel (par exemple, principal.artifact.first_seen_time et security_result.about.file.last_modification_time).

Ces mesures séparent le code temporel en incréments plus précis, tels que l'heure, le jour, la semaine ou l'année. Le modèle fournit également une mesure minimale et maximale pour chaque incrément. Cela vous permet de créer des graphiques plus détaillés qui agrégent le nombre d'événements en fonction du temps et des incréments de temps.

Champs personnalisés

Les champs personnalisés sont des champs que vous créez à l'aide des champs prédéfinis disponibles dans le modèle de données de la carte. Les champs personnalisés ne peuvent être utilisés que dans cette carte.

Vous pouvez créer les types de champs personnalisés suivants:

• Dimensions personnalisées
• Mesures personnalisées
• Expressions de tableau personnalisées

Pour accéder au menu des champs personnalisés dans la boîte de dialogue Modifier la carte, cliquez sur + Ajouter sous la section Tous les champs > Champs personnalisés. L'image suivante montre l'emplacement du menu.

Créer une dimension personnalisée

Les dimensions personnalisées sont des attributs uniques qui vous aident à décrire les données. Par exemple, la concaténation du prénom et du nom d'un utilisateur peut être une dimension personnalisée.

Pour ajouter une dimension personnalisée à une carte, procédez comme suit:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la carte, cliquez sur + Ajouter > Dimension personnalisée. La boîte de dialogue Créer une dimension personnalisée s'affiche.
4. Dans la boîte de dialogue Créer une dimension personnalisée, procédez comme suit :
   1. Dans le champ Expression, saisissez une expression Looker qui définit la valeur à l'aide de n'importe quelle fonction et opérateur Looker. L'éditeur d'expressions Looker suggère des noms de champs et affiche une aide sur la syntaxe pour toutes les fonctions que vous utilisez. Voici des exemples d'expressions :
      • Concaténe le nom et la valeur du flux IOC. Vous ne pouvez utiliser cet exemple que dans l'exploration Matchs IOC. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Renvoie la première valeur non vide. L'ordre est le nom d'hôte, puis l'adresse IP. Si aucune de ces conditions n'est remplie, _ s'affiche. Vous ne pouvez utiliser cet exemple que dans l'exploration du graphique des entités. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Sélectionnez un format dans le menu Format.
   3. Spécifiez le nom de la dimension personnalisée dans le champ Nom. Cette valeur apparaît dans l'onglet Tous les champs et dans le tableau Données.
   4. Sélectionnez + Ajouter une description pour ajouter une description dans le champ Description.
   5. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner une dimension personnalisée pour l'ajouter ou la retirer de la carte.

Créer des mesures personnalisées

Les mesures sont une représentation numérique d'une ou de plusieurs dimensions (ou attributs uniques des données), comme un nombre ou une moyenne. Elles vous permettent de calculer des indicateurs clés de performance (KPI) et d'aider les utilisateurs à analyser les données à l'aide de différents attributs agrégés.

Les mesures personnalisées vous permettent de définir un calcul numérique spécifique pour un champ. Selon le type de champ, seuls certains types de mesures sont disponibles.

Pour ajouter une mesure personnalisée à une carte, procédez comme suit:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la carte, cliquez sur + Ajouter, puis sélectionnez Mesure personnalisée. La boîte de dialogue Créer une mesure personnalisée s'affiche.

4. Dans la boîte de dialogue Créer une mesure personnalisée, procédez comme suit:

   1. Sélectionnez un champ dans le menu Champ à mesurer.
   2. Sélectionnez un type de mesure dans le menu Type de mesure.
   3. Saisissez un nom dans le champ Nom. Le nom apparaît dans le sélecteur de champs et dans le tableau de données.

   4. Dans l'onglet Filtres, procédez comme suit:

      1. Pour ajouter une condition de filtre, sélectionnez un champ dans le menu Nom du filtre. Vous pouvez ajouter ou supprimer des conditions de filtrage à l'aide des boutons Valeur de filtre add_circle_outline et remove_circle_outline, respectivement.
      2. Vous pouvez sélectionner la flèche à côté de Filtre personnalisé pour créer une expression de filtre personnalisé à l'aide de toute fonction et opérateur Looker pouvant être utilisés dans les filtres personnalisés. L'éditeur d'expressions Looker suggère des noms de champs et affiche une aide sur la syntaxe pour toutes les fonctions que vous utilisez. Voici des exemples d'expressions :
         • Mesure les journaux du flux IOC pour une valeur unique. Vous ne pouvez utiliser cet exemple que dans l'exploration Matchs IOC. ${ioc_matches.feed_log_type} != ""
         • Mesure les secondes du bucket de jour de l'IOC: ${ioc_matches.day_bucket_seconds}

   5. Dans l'onglet Détails du champ, procédez comme suit:

      • Sélectionnez un format dans le menu Format.
      • Vous pouvez ajouter une description de 255 caractères maximum dans le champ Description pour fournir aux autres utilisateurs des informations supplémentaires sur le champ personnalisé.

   6. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner le champ personnalisé à ajouter à la carte.

Créer un calcul de table personnalisé

Les calculs de table vous permettent de créer des métriques ad hoc. Ils sont comparables aux formules que l'on trouve dans les outils de type tableurs, tels que Google Sheets.

Google Security Operations vous permet d'ajouter des calculs personnalisés à une carte. Ces calculs de table personnalisés sont créés à l'aide d'expressions Looker. Vous ne pouvez créer des calculs de table qu'à l'aide des champs de l'exploration.

Pour créer un calcul de tableau et l'ajouter à une carte, procédez comme suit:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la carte, cliquez sur + Ajouter > Calcul de table. La boîte de dialogue Créer un calcul de table s'affiche.
4. Dans la boîte de dialogue Create table calculation (Créer un calcul de table), procédez comme suit :
   1. Sélectionnez un type de calcul dans le menu Calcul. Les options pour une expression personnalisée s'affichent par défaut.
   2. Saisissez une expression Looker dans le champ pour définir un calcul. Voici quelques exemples d'expressions de calcul de table :
      • L'expression suivante utilise la fonction diff hours pour afficher la différence entre deux codes temporels. Vous ne pouvez utiliser cet exemple que dans l'exploration Détections de règles. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • L'expression suivante compte les valeurs IOC. Vous ne pouvez utiliser cet exemple que dans l'exploration Matchs IOC. count(${ioc_matches.ioc_value})
   3. Sélectionnez un format dans le menu Format.
   4. Saisissez un nom de calcul dans le champ Nom.
   5. Sélectionnez + Ajouter une description pour ajouter une description facultative donnant plus de contexte aux autres utilisateurs concernant le calcul de table.
   6. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner le champ de calcul personnalisé pour l'ajouter ou le retirer de la carte.

Sélectionner le type de graphique de visualisation

Les visualisations affichent les données de manière visuelle pour vous aider à identifier les anomalies et les tendances. Le tableau de bord SIEM de Google Security Operations est basé sur la technologie Looker, y compris les visualisations Looker.

Vous pouvez utiliser les types de visualisation suivants dans les tableaux de bord SIEM Google Security Operations:

• Options du graphique à colonnes
• Options du graphique à barres
• Options du graphique à nuage de points
• Options du graphique en courbes
• Options du graphique en aires
• Options du graphique en boîte
• Options du graphique en cascade
• Options du graphique à secteurs
• Options du graphique "Multiples en donut"
• Options du graphique d'entonnoir
• Options de graphiques chronologiques
• Options de graphiques à valeur unique
• Options du graphique "Enregistrement unique"
• Options des tableaux
• Options des graphiques de type tableau (anciens)
• Options du graphique en nuage de mots
• Options de graphiques Google Maps
• Options des graphiques cartographiques
• Options de graphiques pour la carte statique (régions)
• Options du graphique Carte statique (points)

Le bouton Exécuter de la boîte de dialogue Modifier la carte vous permet d'afficher un aperçu à l'aide des champs et du type de visualisation sélectionnés. Actualisez l'aperçu après avoir ajusté et modifié la configuration des cartes en cliquant sur Run (Exécuter).

Sélectionner des champs à utiliser comme filtres

Les filtres vous permettent de limiter les données affichées dans la visualisation afin d'afficher uniquement les éléments qui vous intéressent. Vous créez des filtres à l'aide des champs du modèle de données de l'exploration.

Le tableau de bord SIEM de Google Security Operations est basé sur la technologie Looker, y compris les filtres Looker. Vous pouvez créer les types de filtres suivants dans une carte:

• Les filtres standards créent des filtres à l'aide de champs prédéfinis ou personnalisés. Définissez ces filtres à l'aide de la section Filtres de la boîte de dialogue Modifier la carte.
• Filtres personnalisés avec des expressions Looker: spécifiez une logique métier détaillée, combinez les logiques AND et OR, ou utilisez des fonctions Looker. Cliquez sur le bouton Expression personnalisée dans la section Filtres de la boîte de dialogue Modifier la carte.

Certains champs prédéfinis peuvent être utilisés dans un filtre. Ces champs n'apparaissent dans la section Tous les champs que lorsque le modèle de données inclut des champs de filtre uniquement prédéfinis.

Pour ajouter un filtre à une carte, procédez comme suit:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Tous les champs, sélectionnez les champs que vous souhaitez utiliser comme filtres en cliquant sur filter_list Filtrer par champ à côté de chaque nom de champ.

4. Dans la section Filtres, vous pouvez:

   • Définissez les conditions de filtrage pour chaque champ listé dans la section Filtres.
   • Cliquez sur Expression personnalisée, puis ajoutez des valeurs dans le champ Filtre personnalisé.

5. Cliquez sur Run (Exécuter) pour mettre à jour l'aperçu de la visualisation.

Exemples permettant de résoudre des cas d'utilisation spécifiques

Les sections suivantes expliquent comment créer des visualisations adaptées à des cas d'utilisation spécifiques.

Créer une carte affichant les types d'IOC

Pour ajouter une carte au tableau de bord afin de surveiller les types d'IOC, procédez comme suit:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Correspondances IOC.
4. Saisissez un nom de carte.
5. Sélectionnez les dimensions suivantes: Type d'IOC et Date du code temporel de l'événement > Date.
6. Sélectionnez les mesures suivantes: Nombre.
7. Dans l'onglet En cours d'utilisation, pointez sur le champ Date d'horodatage de l'événement, puis sélectionnez filter_list Filtrer par champ. Le champ est alors ajouté à la section Filtres.
8. Dans la section Filtres, appliquez les conditions de filtrage que vous souhaitez utiliser.
9. Dans la section Visualisation, sélectionnez l'icône Colonne.

10. Dans la section Données, procédez comme suit:

    • Cliquez sur l'en-tête Nombre de correspondances IOC pour trier les champs par ordre croissant ou décroissant.
    • Définissez la Limite de lignes sur une valeur, par exemple 50, pour limiter les lignes qui apparaissent dans la visualisation.

11. Une fois la carte configurée, cliquez sur Exécuter pour prévisualiser la visualisation à l'aide des données Google Security Operations. L'aperçu est affiché avec les types d'IOC en fonction des correspondances entre les IOC et la date du code temporel de l'événement.

    L'image suivante montre un exemple de graphique créé en suivant ces étapes.

    

12. Cliquez sur Enregistrer.

La page Tableaux de bord s'affiche avec la carte nouvellement ajoutée.

Créer une carte avec des champs énumérés

Le modèle de données unifié du SIEM Google Security Operations inclut plusieurs champs énumérés dont les valeurs sont stockées à la fois sous forme de texte et de chiffres. Les valeurs associées à chaque champ d'énumération se trouvent dans la liste des champs UDM.

Dans certaines explorations, la valeur textuelle et la valeur numérique du champ enum sont stockées dans des champs distincts. Par exemple, avec le champ metadata.event_type, l'une des valeurs d'énumération est FILE_CREATION et le numéro associé est 14001.

Dans une exploration, les champs suivants stockent les valeurs metadata.event_type:

• metadata.event_type stocke la valeur numérique, 14001.
• metadata.event_type_enum_name stocke la valeur textuelle, FILE_CREATION.

Lorsque vous ajoutez un champ énuméré à une carte, ajoutez le champ qui stocke la valeur textuelle au lieu du nombre.

Suivez les instructions ci-dessous pour ajouter une carte avec des champs énumérés à un tableau de bord:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Événements UDM.
4. Saisissez un nom de carte.
5. Dans Find a Field (Rechercher un champ), recherchez un champ UDM, tel que metadata.event_type.
6. Dans Dimensions, sélectionnez metadata.event_type_enum_name et security_result.action_enum_name.
7. Dans Mesures, sélectionnez Nombre.
8. Dans l'onglet En cours d'utilisation, pointez sur le champ security_result.action_enum_name, puis sélectionnez filter_listFiltrer par champ. Les filtres du champ sélectionné s'affichent dans la section Filtres.
9. Dans la section Filtres, sélectionnez est égal à, puis BLOCK comme valeur.
10. Dans la section Visualisation, sélectionnez l'icône Table.

11. Dans la section Données, procédez comme suit:

    • Cliquez sur l'en-tête Nombre d'UDM pour trier les champs par ordre croissant ou décroissant.
    • Définissez la Limite de lignes sur une valeur (par exemple, 50) pour limiter les lignes qui apparaissent dans la visualisation.

12. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation à l'aide des données Google Security Operations. L'aperçu affiche les valeurs metadata.event_type par nombre, où le nom security_result.action_enum est BLOCK.

    L'image suivante montre un exemple de graphique créé en suivant ces étapes.

    

13. Cliquez sur Enregistrer.

La page Tableaux de bord s'affiche avec la carte nouvellement ajoutée.

Utiliser un tableau croisé dynamique dans un tableau de données

Vous pouvez utiliser un tableau croisé dynamique pour afficher le nombre d'événements pour plusieurs dimensions.

La carte suivante affiche le nombre d'événements pour les valeurs des champs metadata.event_type_enum_name et security_result_action_enum_name. Dans cet exemple, un pivot est appliqué au champ security_result_action_enum_name.

Pour créer ce tableau de données contenant un tableau croisé dynamique, procédez comme suit:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Événements UDM.
4. Saisissez un nom de carte.
5. Sélectionnez les champs Dimension metadata.event_type_enum_name et security_result_action_enum_name.
6. Sélectionnez le champ Mesure Count.
7. Dans la section Filtre, créez les filtres suivants :
   • UDM metadata_event_timestamp est au cours des deux dernières heures.
   • UDM security_result.action_enum_name n'est pas nul.
8. Dans l'onglet Utilisé, vérifiez que les champs suivants s'affichent. Si des éléments sont manquants, répétez les étapes précédentes pour configurer la carte.
   • metadata.event_timestamp
   • metadata.event_type_enum_name – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Dans la section Données, cliquez sur l'icône settings dans l'en-tête de la colonne security_result.action_enum_name, puis sélectionnez Pivot.
10. Une nouvelle ligne s'affiche dans la grille sous Données.
11. Dans la section Visualisation, sélectionnez l'icône Table.
12. Cliquez sur Run (Exécuter) pour afficher un aperçu de la visualisation.

L'image suivante montre ces options de configuration dans la boîte de dialogue Edit Tile (Modifier la carte).

Options de configuration pour le tableau croisé dynamique dans un tableau de données

Créer un graphique temporel à l'aide d'un tableau croisé dynamique avec des champs de date

Vous pouvez utiliser un tableau croisé dynamique avec des champs de date pour créer un graphique temporel. La carte suivante affiche le nombre d'événements par heure pour les valeurs des champs security_result_action_enum_name.

Dans cet exemple, un pivot est appliqué au champ security_result_action_enum_name. Le filtre limite la plage de dates et exclut les données pour lesquelles la valeur security_result_action_enum_name est null. Il utilise le champ de date metadata.event_timestamp Hour prédéfini qui partitionne les données par heure.

Pour utiliser un tableau croisé dynamique avec des champs de données, procédez comme suit:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Événements UDM.
4. Saisissez un nom de carte.
5. Sélectionnez les champs Dimension: metadata.event_timestamp Hour et security_result_action_enum_name.
6. Sélectionnez le champ Mesure: Count.
7. Dans la section Filtre, créez les filtres suivants :
   • UDM metadata_event_timestamp est dans la plage, puis sélectionnez une date et une heure de début et de fin.
   • UDM security_result.action_enum_name n'est pas nul.
8. Dans l'onglet Utilisé, vérifiez que les champs suivants s'affichent. Si des éléments sont manquants, répétez les étapes précédentes pour configurer la carte.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Dans la section Données, cliquez sur l'icône settings dans l'en-tête de la colonne security_result.action_enum_name, puis sélectionnez Pivot. Une nouvelle ligne s'affiche dans la grille de données.
10. Dans la section Visualisation, sélectionnez l'icône Table.
11. Cliquez sur Run (Exécuter) pour afficher un aperçu de la visualisation.

L'image suivante montre ces options de configuration dans la boîte de dialogue Edit Tile (Modifier la carte).

Options de configuration pour le pivot dans un champ de date

Créer un graphique avec des mesures de code temporel détaillées

Vous pouvez créer un graphique avec le nombre d'événements pour chaque type de journal, ainsi que l'horodatage de l'événement le plus ancien (min) et le plus récent (max). Ce graphique utilise le champ metadata.product_name pour identifier le type de journal.

Pour créer un graphique avec des codes temporels min ou max:

1. Ouvrez un tableau de bord à modifier ou créez-en un.

2. Cliquez sur Ajouter > Visualisation.

3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Événements UDM.

4. Saisissez un nom de carte.

5. Sélectionnez le champ Dimension: metadata.product_name.

6. Sélectionnez les champs Mesure: Count, metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date.

7. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation. L'aperçu s'affiche, affichant les valeurs metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date au format de date.

8. Cliquez sur Enregistrer. La page Dashboards (Tableaux de bord) s'affiche avec le graphique nouvellement ajouté. Le graphique inclut les colonnes metadata.product_name, UDM, metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date avec des valeurs.