Aggiungere una visualizzazione del grafico a una dashboard

Per aggiungere un grafico o un'altra visualizzazione a una dashboard, utilizza un riquadro di visualizzazione. Il riquadro della visualizzazione mostra i dati della vista LookML associata, chiamata Esplorazione, che selezioni durante la creazione del riquadro. Questo documento descrive quanto segue:

• Come creare grafici e altre visualizzazioni utilizzando il riquadro di visualizzazione.
• Come creare visualizzazioni di dati che soddisfino casi d'uso specifici.

Panoramica della procedura

A livello generale, esegui le seguenti azioni per creare una visualizzazione in una dashboard:

1. Aggiungi un riquadro di visualizzazione alla dashboard.
2. Seleziona l'esplorazione. Un'esplorazione è un punto di partenza per il nuovo riquadro e rappresenta unmodello dei datii specifico.
3. Seleziona i campi di dati per la visualizzazione. I campi predefiniti sono raggruppati in uno dei seguenti tipi:
   • Dimensioni: attributi dei dati che descrivono i dati. Esempio: la metratura e il materiale da costruzione di un museo sono dimensioni diverse all'interno di un set di dati del museo.
   • Misure: rappresentazione numerica di una o più dimensioni o attributo univoco dei dati, ad esempio conteggio o media.
   • Campi solo con filtri: campi predefiniti che possono essere utilizzati solo in un filtro.
4. Se vuoi, puoi creare e aggiungere campi personalizzati al riquadro che supportano un caso d'uso specifico.
5. Configura il riquadro selezionando quanto segue:
   • Visualizzazione: mostra visivamente i campi selezionati. Ad esempio, un grafico a linee può mostrare le tendenze nel tempo.
   • Filtri: limita la visualizzazione in modo da mostrare solo i dati di interesse. Qualsiasi campo di un'esplorazione può essere utilizzato per creare un filtro.
6. Esegui la visualizzazione per visualizzare l'anteprima dei risultati.
7. Salva il riquadro di visualizzazione.

Le sezioni seguenti di questo documento forniscono informazioni più dettagliate sulla configurazione di ciascun componente in un riquadro di visualizzazione.

Esempio: creare una tabella di dati

I passaggi riportati di seguito forniscono maggiori dettagli su come creare una tabella di dati utilizzando un riquadro di visualizzazione e mostrano le opzioni di configurazione nella finestra di dialogo Modifica riquadro.

1. In Dashboard personali o Dashboard condivise, seleziona una dashboard e poi fai clic su more_vert Azioni dashboard > Modifica dashboard.
2. Fai clic su Aggiungi > Visualizzazione.
3. Seleziona un modello dei dati Esplora. Viene visualizzata la finestra di dialogo Modifica riquadro.
4. Inserisci un nome univoco per il riquadro.
5. In Tutti i campi, seleziona i campi predefiniti: Dimensioni e Misure. In genere, devi scegliere almeno due campi per creare una visualizzazione. I campi selezionati vengono visualizzati nella sezione Dati.
6. (Facoltativo) Crea e aggiungi eventuali campi personalizzati necessari per la visualizzazione. Verranno visualizzati nella sezione Dati.
7. Nella sezione Visualizzazione, seleziona Tabella come tipo di visualizzazione. La visualizzazione mostra i campi di dati selezionati nella tabella.
8. Nella sezione Filtri, definisci i filtri che limitano la visualizzazione in modo da mostrare solo i dati di interesse. Qualsiasi campo di un'esplorazione può essere utilizzato per creare un filtro.
9. Nella sezione Dati, segui questi passaggi:
   • Fai clic su Esplora intestazione campo per ordinare i campi in ordine crescente o decrescente.
   • Imposta Limite di righe per limitare il numero di righe visualizzate nella visualizzazione.
10. Fai clic su Esegui per visualizzare l'anteprima della visualizzazione utilizzando i dati SIEM di Google Security Operations.
11. Fai clic su Salva. Viene visualizzata la dashboard con il riquadro appena aggiunto.

L'immagine seguente identifica la posizione nella finestra di dialogo Modifica riquadro in cui eseguire questi passaggi.

Finestra di dialogo Modifica riquadro con configurazione

Scegliere un modello dei dati di esplorazione

Google Security Operations SIEM fornisce più modelli di dati che puoi utilizzare per creare una dashboard. Ogni modello dei dati è un'esplorazione di Looker che definisce un sottoinsieme di campi UDM.

Un'esplorazione è un punto di partenza per la creazione di un nuovo riquadro di visualizzazione. È progettato per esplorare un particolare modello dei dati. Selezioni un'esplorazione del modello dei dati per ogni riquadro di visualizzazione.

Google Security Operations SIEM fornisce le seguenti esplorazioni del modello dei dati:

• Grafico entità
• Corrispondenze IOC
• Metrica di importazione con statistiche di importazione
• Metriche di importazione
• Statistiche sull'importazione
• Rilevamenti delle regole
• Set di regole con rilevamenti
• Eventi UDM
• Aggregati eventi UDM

Se vuoi, puoi creare campi personalizzati da utilizzare solo con il riquadro in cui vengono creati.

Seleziona i campi per la visualizzazione del grafico

Dopo aver selezionato l'esplorazione per un riquadro, i campi UDM predefiniti vengono visualizzati nella scheda Tutti i campi della finestra di dialogo Esplora.

Dopo aver selezionato i campi dalla scheda Tutti i campi, questi vengono visualizzati sia nella scheda In uso sia nella sezione Dati. Le seguenti sottosezioni descrivono i tipi di campi che puoi scegliere per creare una visualizzazione del grafico.

Campi predefiniti

Ogni esplorazione include un insieme diverso di campi UDM predefiniti. I campi predefiniti disponibili nel riquadro sono specifici delmodello dei datii selezionato nella finestra di dialogo Scegli un'esplorazione.

I campi predefiniti sono raggruppati nei seguenti tipi:

• Dimensioni
• Misure
• Campi solo con filtri

Le icone accanto a ogni campo mostrano ulteriori informazioni e indicano le opzioni disponibili, come Filtra per campo, Pivot dei dati, Aggrega, Bin o Raggruppa. Fai clic sull'icona Informazioni per visualizzare il testo della guida per il campo. Queste icone sono visibili quando tieni il puntatore sopra un campo. Per saperne di più, vedi Informazioni e azioni specifiche per campo.

Puoi utilizzare i campi predefiniti per creare dimensioni personalizzate, misure personalizzate, calcoli della tabella e applicare filtri al riquadro.

Un'esplorazione può includere campi ritirati che non sono più supportati. I campi ritirati sono identificati da un nome di campo seguito da [D].

Alcuni modelli di dati includono campi solo con filtri predefiniti che possono essere utilizzati solo in un filtro. I campi solo con filtri in un modello dei dati possono includere uno o più dei seguenti tipi di campi:

• Singoli campi UDM
• Campi UDM raggruppati

Alcuni modelli di dati di Esplora, come Eventi UDM, includono misure più granulari per i campi che memorizzano un timestamp (ad esempio principal.artifact.first_seen_time e security_result.about.file.last_modification_time).

Queste misure separano il timestamp in incrementi più granulari, come ora, giorno, settimana o anno. Il modello fornisce anche una misura minima e massima per ogni incremento. In questo modo puoi creare grafici più dettagliati che aggregano i conteggi degli eventi in base al tempo e agli incrementi di tempo.

Campi personalizzati

I campi personalizzati sono campi che crei utilizzando i campi predefiniti disponibili nel modello dei datii per il riquadro. I campi personalizzati possono essere utilizzati solo in questo riquadro.

Puoi creare uno dei seguenti tipi di campi personalizzati:

• Dimensioni personalizzate
• Misure personalizzate
• Espressioni delle tabelle personalizzate

Per accedere al menu dei campi personalizzati nella finestra di dialogo Modifica riquadro, fai clic su + Aggiungi nella sezione Tutti i campi > Campi personalizzati. L'immagine seguente mostra la posizione del menu.

Creare una dimensione personalizzata

Le dimensioni personalizzate sono attributi unici che ti aiutano a descrivere i dati. Ad esempio, la concatenazione del nome e del cognome di un utente può essere una dimensione personalizzata.

Per aggiungere una dimensione personalizzata a un riquadro:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Apri un riquadro da modificare.
3. Nella sezione Campi personalizzati della finestra di dialogo Modifica riquadro, fai clic su + Aggiungi > Dimensione personalizzata. Viene visualizzata la finestra di dialogo Crea dimensione personalizzata.
4. Nella finestra di dialogo Crea dimensione personalizzata, procedi nel seguente modo:
   1. Nel campo Espressione, inserisci un'espressione di Looker che definisce il valore utilizzando qualsiasi funzione e operatore di Looker. L'editor di espressioni di Looker suggerisce i nomi dei campi e mostra la sintassi di aiuto per le funzioni che utilizzi. Di seguito sono riportati alcuni esempi di espressioni:
      • Concatena il nome del feed IOC e il valore IOC. Puoi utilizzare questo esempio solo nell'esplorazione Corrispondenze IOC. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Restituisce il primo valore non vuoto. L'ordine è nome host, poi indirizzo IP. Se nessuno dei due esiste, viene visualizzato _. Puoi utilizzare questo esempio solo nella sezione Esplora del grafico delle entità. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Seleziona un formato dal menu Formato.
   3. Specifica il nome della dimensione personalizzata nel campo Nome. Questo valore verrà visualizzato nella scheda Tutti i campi e nella tabella Dati.
   4. Seleziona + Aggiungi descrizione per aggiungere una descrizione nel campo Descrizione.
   5. Fai clic su Salva.

La scheda Tutti i campi mostra il campo nella sezione Campi personalizzati. Come avviene anche per gli altri campi, puoi selezionare una dimensione personalizzata per aggiungerla o rimuoverla dal riquadro.

Creare misure personalizzate

Le misure sono una rappresentazione numerica di una o più dimensioni (o attributi unici dei dati), ad esempio un conteggio o una media. Le misure consentono di calcolare gli indicatori chiave di prestazione (KPI) e aiutano gli utenti ad analizzare i dati utilizzando diversi attributi aggregati.

Le misure personalizzate ti consentono di definire un calcolo numerico specifico per un campo. A seconda del tipo di campo, sono disponibili solo determinati tipi di misure.

Per aggiungere una metrica personalizzata a un riquadro:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Apri un riquadro da modificare.
3. Nella sezione Campi personalizzati della finestra di dialogo Modifica riquadro, fai clic su + Aggiungi e seleziona Misura personalizzata. Viene visualizzata la finestra di dialogo Crea misura personalizzata.

4. Nella finestra di dialogo Crea misura personalizzata, procedi nel seguente modo:

   1. Seleziona un campo dal menu Campo da misurare.
   2. Seleziona un tipo di misura dal menu Tipo di misura.
   3. Specifica un nome nel campo Nome. Il nome viene visualizzato nel selettore campi e nella tabella dati.

   4. Nella scheda Filtri, procedi nel seguente modo:

      1. Per aggiungere una condizione del filtro, seleziona un campo dal menu Nome filtro. Puoi aggiungere o rimuovere le condizioni del filtro utilizzando i pulsanti add_circle_outline e remove_circle_outline Valore filtro, rispettivamente.
      2. Puoi selezionare la freccia accanto a Filtro personalizzato per creare un'espressione di filtro personalizzato utilizzando qualsiasi funzione e operatore di Looker che può essere utilizzato nei filtri personalizzati. L'editor delle espressioni di Looker suggerisce i nomi dei campi e mostra la sintassi di aiuto per le funzioni che utilizzi. Di seguito sono riportati alcuni esempi di espressioni:
         • Misura i log dei feed IOC per i valori univoci. Puoi utilizzare questo esempio solo nell'esplorazione Corrispondenze IOC. ${ioc_matches.feed_log_type} != ""
         • Misura i secondi del bucket del giorno IOC: ${ioc_matches.day_bucket_seconds}

   5. Nella scheda Dettagli campo, procedi nel seguente modo:

      • Seleziona un formato dal menu Formato.
      • (Facoltativo) Aggiungi una descrizione di massimo 255 caratteri nel campo Descrizione per fornire agli altri utenti ulteriori dettagli sul campo personalizzato.

   6. Fai clic su Salva.

La scheda Tutti i campi mostra il campo nella sezione Campi personalizzati. Come per gli altri campi, puoi selezionare il campo personalizzato da aggiungere al riquadro.

Creare un calcolo tabulare personalizzato

I calcoli tabulari ti consentono di creare metriche ad hoc. Sono paragonabili alle formule disponibili nei fogli di lavoro, come Fogli Google.

Google SecOps ti offre la possibilità di aggiungere calcoli personalizzati a un riquadro. Questi calcoli tabulari personalizzati vengono creati utilizzando le espressioni Looker. Puoi creare calcoli tabulari solo utilizzando i campi in Esplora.

Per creare un calcolo tabellare e aggiungerlo a un riquadro:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Apri un riquadro da modificare.
3. Nella sezione Campi personalizzati della finestra di dialogo Modifica riquadro, fai clic su + Aggiungi > Calcolo tabella. Viene visualizzata la finestra di dialogo Crea calcolo tabulare.
4. Nella finestra di dialogo Crea calcolo tabulare, procedi nel seguente modo:
   1. Seleziona un tipo di calcolo dal menu Calcolo. Le opzioni disponibili per le espressioni personalizzate vengono visualizzate per impostazione predefinita.
   2. Inserisci un'espressione di Looker nel campo per definire un calcolo. Di seguito sono riportati esempi di espressioni di calcolo delle tabelle:
      • La seguente espressione utilizza la funzione diff hours per mostrare la differenza tra due timestamp. Puoi utilizzare questo esempio solo in Esplora Rilevamenti delle regole. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • La seguente espressione conta i valori IOC. Puoi utilizzare questo esempio solo nell'esplorazione Corrispondenze IOC. count(${ioc_matches.ioc_value})
   3. Seleziona un formato dal menu Formato.
   4. Inserisci un nome per il calcolo nel campo Nome.
   5. Seleziona + Aggiungi descrizione per aggiungere una descrizione facoltativa per fornire agli altri utenti maggiori informazioni sul calcolo tabulare.
   6. Fai clic su Salva.

La scheda Tutti i campi mostra il campo nella sezione Campi personalizzati. Come per gli altri campi, puoi selezionare il campo di calcolo personalizzato per aggiungerlo o rimuoverlo dal riquadro.

Seleziona il tipo di grafico di visualizzazione

Le visualizzazioni mostrano i dati in modo visivo per aiutarti a individuare anomalie e tendenze. La dashboard SIEM di Google Security Operations si basa sulla tecnologia Looker, incluse le visualizzazioni di Looker.

Di seguito sono riportati i tipi di visualizzazione che puoi utilizzare nelle dashboard SIEM di Google Security Operations:

• Opzioni del grafico a colonne
• Opzioni del grafico a barre
• Opzioni del grafico a dispersione
• Opzioni del grafico a linee
• Opzioni del grafico ad area
• Opzioni del grafico box plot
• Opzioni del grafico a cascata
• Opzioni del grafico a torta
• Opzioni del grafico ad anelli multipli
• Opzioni del grafico a imbuto
• Opzioni del grafico a cronologia
• Opzioni del grafico a valore singolo
• Opzioni del grafico a record singolo
• Opzioni del grafico a tabella
• Opzioni del grafico a tabella (legacy)
• Opzioni del grafico a nuvola di parole
• Opzioni del grafico di Google Maps
• Opzioni del grafico a mappa
• Opzioni del grafico a mappa statica (regioni)
• Opzioni del grafico a mappa statica (punti)

Utilizzando il pulsante Esegui nella finestra di dialogo Modifica riquadro, puoi visualizzare un'anteprima utilizzando i campi selezionati e il tipo di visualizzazione. Aggiorna l'anteprima dopo aver regolato e modificato la configurazione del riquadro facendo clic su Esegui.

Seleziona i campi da utilizzare come filtri

I filtri ti consentono di limitare i dati visualizzati nella visualizzazione in modo da mostrare solo gli elementi di interesse. I filtri vengono creati utilizzando i campi nel modello dei dati di Explore.

La dashboard SIEM di Google Security Operations si basa sulla tecnologia Looker, inclusi i filtri Looker. Puoi creare i seguenti tipi di filtri in un riquadro:

• I filtri standard creano filtri utilizzando campi predefiniti o personalizzati. Definisci questi filtri utilizzando la sezione Filtri della finestra di dialogo Modifica riquadro.
• Filtri personalizzati con espressioni di Looker: specifica la logica di business dettagliata, combina la logica AND e OR oppure utilizza le funzioni di Looker. Fai clic sul pulsante Espressione personalizzata nella sezione Filtri della finestra di dialogo Modifica riquadro.

Alcuni campi predefiniti sono disponibili per l'utilizzo in un filtro. Questi campi vengono visualizzati nella sezione Tutti i campi solo quando ilmodello dei datii include campi solo con filtri predefiniti.

Per aggiungere un filtro a un riquadro:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Apri un riquadro da modificare.
3. Nella sezione Tutti i campi, seleziona i campi che vuoi utilizzare come filtri facendo clic su filter_list Filtra per campo accanto a ogni nome di campo.

4. Nella sezione Filtri, puoi:

   • Definisci le condizioni del filtro per ogni campo elencato nella sezione Filtri.
   • Fai clic su Espressione personalizzata e aggiungi valori nel campo Filtro personalizzato.

5. Fai clic su Esegui per aggiornare l'anteprima della visualizzazione.

Esempi che risolvono casi d'uso specifici

Le sezioni seguenti descrivono come creare visualizzazioni che supportano casi d'uso specifici.

Crea un riquadro che mostri i tipi di IOC

Per aggiungere un riquadro alla dashboard per monitorare i tipi di IOC:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Fai clic su Aggiungi > Visualizzazione.
3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Corrispondenze IOC.
4. Inserisci un nome per il riquadro.
5. Seleziona le seguenti dimensioni: Tipo di indicatore di compromissione e Data e ora evento > Data.
6. Seleziona le seguenti misure: Conteggio.
7. Nella scheda In uso, tieni il puntatore sopra il campo Data evento timestamp e poi seleziona filter_list Filtra per campo. Il campo viene aggiunto alla sezione Filtri.
8. Nella sezione Filtri, applica le condizioni del filtro che vuoi utilizzare.
9. Nella sezione Visualizzazione, seleziona l'icona Colonna.

10. Nella sezione Dati, segui questi passaggi:

    • Fai clic sull'intestazione Conteggio corrispondenze IOC per ordinare i campi in ordine crescente o decrescente.
    • Imposta il Limite righe su un valore, ad esempio 50, per limitare le righe visualizzate nella visualizzazione.

11. Dopo aver configurato il riquadro, fai clic su Esegui per visualizzare l'anteprima della visualizzazione utilizzando i dati di Google SecOps. L'anteprima viene visualizzata con i tipi di IOC in base alle corrispondenze degli IOC con la data del timestamp dell'evento.

    La seguente immagine mostra un esempio del grafico creato seguendo questi passaggi.

    

12. Fai clic su Salva.

Viene visualizzata la pagina Dashboard con il riquadro appena aggiunto.

Creare un riquadro con campi enumerati

Il modello di dati unificato SIEM di Google Security Operations include più campi enumerati con valori archiviati come testo e numeri. I valori associati a ogni campo enum sono disponibili nell'elenco dei campi UDM.

In alcune esplorazioni, il valore di testo e il valore numerico del campo enum sono memorizzati in campi separati. Ad esempio, con il campo metadata.event_type uno dei valori enum è FILE_CREATION e il numero correlato è 14001.

In un'esplorazione, i seguenti campi memorizzano i valori metadata.event_type:

• metadata.event_type memorizza il valore numerico 14001.
• metadata.event_type_enum_name memorizza il valore di testo FILE_CREATION.

Quando aggiungi un campo enumerato a un riquadro, aggiungi il campo che memorizza il valore di testo anziché il numero.

Segui queste istruzioni per aggiungere un riquadro con campi enumerati a una dashboard:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Fai clic su Aggiungi > Visualizzazione.
3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Eventi UDM.
4. Inserisci un nome per il riquadro.
5. In Trova un campo, cerca un campo UDM, ad esempio metadata.event_type.
6. In Dimensioni, seleziona metadata.event_type_enum_name e security_result.action_enum_name.
7. In Misure, seleziona Conteggio.
8. Nella scheda In uso, tieni il puntatore del mouse sul campo security_result.action_enum_name e seleziona filter_listFiltra per campo. Vengono visualizzati i filtri del campo selezionato nella sezione Filtri.
9. Nella sezione Filtri, seleziona è uguale a, quindi seleziona BLOCCO come valori.
10. Nella sezione Visualizzazione, seleziona l'icona Tabella.

11. Nella sezione Dati, segui questi passaggi:

    • Fai clic sull'intestazione Conteggio UDM per ordinare i campi in ordine crescente o decrescente.
    • Imposta il Limite righe su un valore (ad esempio 50) per limitare le righe visualizzate nella visualizzazione.

12. Fai clic su Esegui per visualizzare l'anteprima della visualizzazione utilizzando i dati di Google SecOps. Viene visualizzata l'anteprima che mostra i valori di metadata.event_type per conteggio in cui il nome di security_result.action_enum è BLOCK.

    La seguente immagine mostra un esempio del grafico creato seguendo questi passaggi.

    

13. Fai clic su Salva.

Viene visualizzata la pagina Dashboard con il riquadro appena aggiunto.

Utilizzare un pivot in una tabella di dati

Puoi utilizzare una tabella pivot per visualizzare i conteggi degli eventi in più dimensioni.

Il seguente riquadro mostra i conteggi degli eventi in base ai valori nei campi metadata.event_type_enum_name e security_result_action_enum_name. In questo esempio, viene applicata una tabella pivot al campo security_result_action_enum_name.

Completa i seguenti passaggi per creare questa tabella di dati contenente una pivot:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Fai clic su Aggiungi > Visualizzazione.
3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Eventi UDM.
4. Inserisci un nome per il riquadro.
5. Seleziona i campi Dimensione metadata.event_type_enum_name e security_result_action_enum_name.
6. Seleziona il campo Misura Count.
7. Nella sezione Filtro, crea i seguenti filtri:
   • UDM metadata_event_timestamp è nelle ultime 2 ore.
   • UDM security_result.action_enum_name is not null.
8. Nella scheda In uso, verifica che vengano visualizzati i seguenti campi. Se ne manca qualcuno, ripeti i passaggi precedenti per configurare il riquadro.
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Nella sezione Dati, fai clic sull'icona settings nell'intestazione della colonna security_result.action_enum_name e poi seleziona Tabella pivot.
10. Nella griglia viene visualizzata una nuova riga sotto Dati.
11. Nella sezione Visualizzazione, seleziona l'icona Tabella.
12. Fai clic su Esegui per visualizzare un'anteprima della visualizzazione.

La seguente immagine mostra queste opzioni di configurazione nella finestra di dialogo Modifica riquadro.

Opzioni di configurazione per la rotazione in una tabella di dati

Utilizzare una tabella pivot con campi data per creare un grafico temporale

Puoi utilizzare una tabella pivot con campi data per creare un grafico cronologico. Il seguente riquadro mostra i conteggi orari degli eventi per i valori nei campi security_result_action_enum_name.

In questo esempio, viene applicata una tabella pivot al campo security_result_action_enum_name. Il filtro limita l'intervallo di date ed esclude i dati in cui il valore di security_result_action_enum_name è null. Utilizza il campo data metadata.event_timestamp Hour predefinito che partiziona i dati per ora.

Per utilizzare una tabella pivot con i campi dati:

1. Apri una dashboard esistente da modificare o creane una nuova.
2. Fai clic su Aggiungi > Visualizzazione.
3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Eventi UDM.
4. Inserisci un nome per il riquadro.
5. Seleziona i campi Dimensione: metadata.event_timestamp Hour e security_result_action_enum_name.
6. Seleziona il campo Misura: Count.
7. Nella sezione Filtro, crea i seguenti filtri:
   • UDM metadata_event_timestamp è compreso nell'intervallo, quindi seleziona una data e un'ora di inizio e di fine.
   • UDM security_result.action_enum_name is not null.
8. Nella scheda In uso, verifica che vengano visualizzati i seguenti campi. Se ne manca qualcuno, ripeti i passaggi precedenti per configurare il riquadro.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Nella sezione Dati, fai clic sull'icona settings nell'intestazione della colonna security_result.action_enum_name e poi seleziona Tabella pivot. Nella griglia dei dati viene visualizzata una nuova riga.
10. Nella sezione Visualizzazione, seleziona l'icona Tabella.
11. Fai clic su Esegui per visualizzare un'anteprima della visualizzazione.

La seguente immagine mostra queste opzioni di configurazione nella finestra di dialogo Modifica riquadro.

Opzioni di configurazione per la tabella pivot in un campo data

Crea un grafico con misure di timestamp dettagliate

Puoi creare un grafico con i conteggi degli eventi per ogni tipo di log, insieme al timestamp dell'evento meno recente (min) e più recente (max). Questo grafico utilizza il campo metadata.product_name per identificare il tipo di log.

Per creare un grafico con timestamp min o max:

1. Apri una dashboard esistente da modificare o creane una nuova.

2. Fai clic su Aggiungi > Visualizzazione.

3. Nella finestra di dialogo Scegli un'esplorazione, seleziona Eventi UDM.

4. Inserisci un nome per il riquadro.

5. Seleziona il campo Dimensione: metadata.product_name.

6. Seleziona i campi Misura: Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date.

7. Fai clic su Esegui per visualizzare l'anteprima della visualizzazione. L'anteprima viene visualizzata mostrando i valori metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date nel formato della data.

8. Fai clic su Salva. Viene visualizzata la pagina Dashboard con il grafico appena aggiunto. Il grafico include le colonne metadata.product_name, UDM, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date con i valori.

   Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.