Adicionar uma visualização de gráfico a um painel

Para adicionar um gráfico ou outra visualização a um painel, use um bloco de visualização. O bloco de visualização mostra dados da visualização do LookML associada, chamada de Análise, que você seleciona ao criar o bloco. Neste documento, descrevemos o seguinte:

• Como criar gráficos e outras visualizações usando o bloco de visualização.
• Como criar visualizações de dados que atendam a casos de uso específicos.

Visão geral do processo

Em geral, você realiza as seguintes ações para criar uma visualização em um painel:

1. Adicione um bloco de visualização ao painel.
2. Selecione a Análise. Uma Análise é um ponto de partida para o novo título e representa um modelo de dados específico.
3. Selecione os campos de dados para a visualização. Os campos predefinidos são agrupados em um dos seguintes tipos:
   • Dimensões: atributos dos dados que os descrevem. Exemplo: a metragem quadrada e o material de construção de um museu são dimensões diferentes em um conjunto de dados de museu.
   • Medidas: representação numérica de uma ou mais dimensões ou atributo exclusivo dos dados, como contagem ou média.
   • Campos somente para filtros: campos predefinidos que podem ser usados apenas em um filtro.
4. Se quiser, crie e adicione campos personalizados ao bloco que oferecem suporte a um caso de uso específico.
5. Para configurar o bloco, selecione o seguinte:
   • Visualização: mostra os campos selecionados de forma visual. Por exemplo, um gráfico de linhas pode mostrar tendências ao longo do tempo.
   • Filtros: restringem a visualização para mostrar apenas os dados de interesse. Qualquer campo em uma análise detalhada pode ser usado para criar um filtro.
6. Execute a visualização para conferir os resultados.
7. Salve o bloco de visualização.

As seções a seguir deste documento fornecem informações mais detalhadas sobre a configuração de cada componente em um bloco de visualização.

Exemplo: criar uma tabela de dados

As etapas a seguir explicam como criar uma tabela de dados usando um bloco de visualização e mostram as opções de configuração na caixa de diálogo Editar bloco.

1. Em Painéis pessoais ou Painéis compartilhados, selecione um painel e clique em more_vert Ações do painel > Editar painel.
2. Clique em Adicionar > Visualização.
3. Selecione um modelo de dados de Análise. A caixa de diálogo Editar bloco aparece.
4. Insira um nome exclusivo para o bloco.
5. Em Todos os campos, selecione os campos predefinidos: Dimensões e Medições. Normalmente, é necessário escolher pelo menos dois campos para criar uma visualização. Os campos selecionados aparecem na seção Dados.
6. Se quiser, crie e adicione os campos personalizados necessários para a visualização. Elas vão aparecer na seção Dados.
7. Na seção Visualização, selecione Tabela como o tipo de visualização. A visualização mostra os campos de dados selecionados na tabela.
8. Na seção Filtros, defina filtros que restringem a visualização para mostrar apenas os dados de interesse. Qualquer campo em uma análise detalhada pode ser usado para criar um filtro.
9. Na seção Dados, faça o seguinte:
   • Clique em Cabeçalho do campo de análise detalhada para classificar os campos em ordem crescente ou decrescente.
   • Defina Limite de linhas para limitar o número de linhas que aparecem na visualização.
10. Clique em Executar para conferir uma prévia da visualização usando os dados do SIEM do Google Security Operations.
11. Clique em Salvar. O Painel aparece com o bloco recém-adicionado.

A imagem a seguir identifica o local na caixa de diálogo Editar bloco em que você realiza essas etapas.

Editar caixa de diálogo de bloco com configuração

Escolher um modelo de dados de Análise

O SIEM das Operações de segurança do Google oferece vários modelos de dados que podem ser usados para criar um painel. Cada modelo de dados é uma Análise do Looker que define um subconjunto de campos do UDM.

Uma análise detalhada é um ponto de partida ao criar um novo bloco de visualização. Ele foi projetado para analisar um modelo de dados específico. Você seleciona uma Análise do modelo de dados para cada bloco de visualização.

O SIEM do Google Security Operations oferece as seguintes análises detalhadas do modelo de dados:

• Gráfico de entidade
• Correspondências de IOC
• Métrica de ingestão com estatísticas de ingestão
• Métricas de ingestão
• Estatísticas de ingestão
• Detectações de regras
• Conjuntos de regras com detecções
• Eventos do UDM
• Agregações de eventos do UDM

Você também pode criar campos personalizados para usar apenas no bloco em que eles foram criados.

Selecionar campos para a visualização de gráfico

Depois de selecionar a análise detalhada de um bloco, os campos UDM predefinidos aparecem na guia Todos os campos da caixa de diálogo Análise detalhada.

Depois de selecionar os campos na guia Todos os campos, eles aparecem na guia Em uso e na seção Dados. As subseções a seguir descrevem os tipos de campos que você pode escolher para criar uma visualização de gráfico.

Campos predefinidos

Cada análise detalhada inclui um conjunto diferente de campos predefinidos da UDM. Os campos predefinidos disponíveis no bloco são específicos do modelo de dados selecionado na caixa de diálogo Escolher uma análise detalhada.

Os campos predefinidos são agrupados nos seguintes tipos:

• Dimensões
• Medidas
• Campos somente para filtros

Os ícones ao lado de cada campo mostram mais informações e indicam opções disponíveis, como Filtrar por campo, Dados dinâmicos, Agregar, Agrupar em classes ou Agrupar. Clique no ícone Informações para ver o texto de ajuda do campo. Eles aparecem quando você mantém o ponteiro sobre um campo. Para saber mais, consulte Informações e ações específicas do campo.

É possível usar campos predefinidos para criar dimensões e medidas personalizadas, cálculos de tabela e aplicar filtros ao bloco.

Uma análise detalhada pode incluir campos descontinuados que não têm mais suporte. Os campos obsoletos são identificados por um nome de campo seguido de [D].

Alguns modelos de dados incluem campos somente para filtro predefinidos que só podem ser usados em um filtro. Os campos somente para filtros em um modelo de dados podem incluir um ou mais dos seguintes tipos de campos:

• Campos individuais do UDM
• Campos agrupados do UDM

Alguns modelos de dados do recurso Detalhar, como Eventos da UDM, incluem medidas mais granulares para campos que armazenam um carimbo de data/hora (por exemplo, principal.artifact.first_seen_time e security_result.about.file.last_modification_time).

Essas medidas separam o carimbo de data/hora em incrementos mais granulares, como hora, dia, semana ou ano. O modelo também fornece uma medida mínima e máxima para cada incremento. Isso permite criar gráficos mais detalhados que agregam contagens de eventos com base no tempo e nos incrementos de tempo.

Campos personalizados

Os campos personalizados são criados usando os campos predefinidos disponíveis no modelo de dados do bloco. Os campos personalizados só podem ser usados nesse bloco.

É possível criar qualquer um dos seguintes tipos de campos personalizados:

• Dimensões personalizadas
• Medidas personalizadas
• Expressões de tabela personalizada

Para acessar o menu de campos personalizados na caixa de diálogo Editar bloco, clique em + Adicionar na seção Todos os campos > Campos personalizados. A imagem a seguir mostra a localização do menu.

Criar uma dimensão personalizada

As dimensões personalizadas são atributos exclusivos que ajudam a descrever dados. Por exemplo, a concatenação do nome e sobrenome de um usuário pode ser uma dimensão personalizada.

Siga estas etapas para adicionar uma dimensão personalizada a um bloco:

1. Abra um painel para editar ou crie um novo.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, clique em + Adicionar > Dimensão personalizada. A caixa de diálogo Criar dimensão personalizada vai aparecer.
4. Na caixa de diálogo Criar dimensão personalizada, faça o seguinte:
   1. No campo Expressão, insira uma expressão do Looker que define o valor usando qualquer função e operador do Looker. O editor de expressões do Looker sugere nomes de campos e mostra ajuda de sintaxe para todas as funções que você usa. Confira alguns exemplos de expressões:
      • Concatena o nome e o valor do feed de IOC. Você pode usar este exemplo apenas na análise Correspondências de IOC. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Retorna o primeiro valor que não está vazio. A ordem é nome do host e endereço IP. Se nenhum deles existir, o valor _ será mostrado. Você pode usar este exemplo apenas na análise detalhada Gráfico de entidades. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Selecione um formato no menu Formatar.
   3. Especifique o nome da dimensão personalizada no campo Nome. Esse valor vai aparecer na guia Todos os campos e na tabela Dados.
   4. Selecione + Adicionar descrição para incluir uma descrição no campo Descrição.
   5. Clique em Salvar.

A guia Todos os campos mostra o campo na seção Campos personalizados. Assim como em outros campos, você pode selecionar uma dimensão personalizada para adicionar ou remover do bloco.

Criar métricas personalizadas

As medidas são uma representação numérica de uma ou mais dimensões (ou atributos únicos dos dados), como uma contagem ou uma média. Com as medições, é possível calcular indicadores principais de desempenho (KPIs) e analisar dados usando vários atributos agregados.

Com as medidas personalizadas, é possível definir um cálculo numérico específico para um campo. Dependendo do tipo de campo, apenas alguns tipos de métricas estão disponíveis.

Siga estas etapas para adicionar uma métrica personalizada a um bloco:

1. Abra um painel para editar ou crie um novo.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, clique em + Adicionar e selecione Métrica personalizada. A caixa de diálogo Criar métrica personalizada vai aparecer.

4. Na caixa de diálogo Criar métrica personalizada, faça o seguinte:

   1. Selecione um campo no menu Campo a ser medido.
   2. Selecione um tipo de métrica no menu Tipo de métrica.
   3. Especifique um nome no campo Nome. O nome aparece no seletor de campos e na tabela de dados.

   4. Na guia Filtros, faça o seguinte:

      1. Para adicionar uma condição de filtro, selecione um campo no menu Nome do filtro. É possível adicionar ou remover condições de filtro usando os botões add_circle_outline e remove_circle_outline Valor do filtro, respectivamente.
      2. Selecione a seta ao lado de Filtro personalizado para criar uma expressão de filtro personalizado usando qualquer função e operador do Looker que possa ser usado em filtros personalizados. O editor de expressões do Looker sugere nomes de campos e mostra ajuda de sintaxe para todas as funções que você usa. Confira alguns exemplos de expressões:
         • Mede os registros de feed de IOCs para valores únicos. Você pode usar este exemplo apenas na análise Correspondências de IOC. ${ioc_matches.feed_log_type} != ""
         • Mede segundos do bucket de dia do IOC: ${ioc_matches.day_bucket_seconds}

   5. Na guia Detalhes do campo, faça o seguinte:

      • Selecione um formato no menu Formatar.
      • Se quiser, adicione uma descrição de até 255 caracteres no campo Descrição para dar mais detalhes aos outros usuários sobre o campo personalizado.

   6. Clique em Salvar.

A guia Todos os campos mostra o campo na seção Campos personalizados. Assim como acontece com outros campos, é possível selecionar o campo personalizado para adicionar ao bloco.

Criar um cálculo de tabela personalizado

Com os cálculos de tabela, é possível criar métricas ad hoc. Elas são comparáveis às fórmulas encontradas em ferramentas de planilha, como o Planilhas Google.

O Google SecOps permite adicionar cálculos personalizados a um bloco. Esses cálculos de tabela personalizados são criados usando expressões do Looker. Só é possível criar cálculos de tabela usando campos na Análise detalhada.

Siga estas etapas para criar um cálculo de tabela e adicioná-lo a um bloco:

1. Abra um painel para editar ou crie um novo.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, clique em + Adicionar > Cálculo de tabela. A caixa de diálogo Criar cálculo de tabela aparece.
4. Na caixa de diálogo Criar cálculo de tabela, faça o seguinte:
   1. Selecione um tipo de cálculo no menu Cálculo. As opções de uma expressão personalizada aparecem por padrão.
   2. Insira uma expressão do Looker no campo para definir um cálculo. Confira alguns exemplos de expressões de cálculo de tabela:
      • A expressão a seguir usa a função diff hours para mostrar a diferença entre dois carimbos de data/hora. Você pode usar esse exemplo apenas na análise detalhada Detecções de regras. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • A expressão a seguir conta os valores de IOC. Você pode usar este exemplo apenas na análise Correspondências de IOC. count(${ioc_matches.ioc_value})
   3. Selecione um formato no menu Formatar.
   4. Insira um nome no campo Nome.
   5. Selecione + Adicionar descrição para incluir uma descrição opcional e dar mais contexto aos outros usuários sobre o cálculo da tabela.
   6. Clique em Salvar.

A guia Todos os campos mostra o campo na seção Campos personalizados. Assim como outros campos, você pode selecionar o campo de cálculo personalizado para adicionar ou remover do bloco.

Selecionar o tipo de gráfico de visualização

As visualizações mostram os dados de forma visual para ajudar você a identificar anomalias e tendências. O painel do SIEM do Google Security Operations é baseado na tecnologia do Looker, incluindo visualizações do Looker.

Estes são os tipos de visualização que podem ser usados nos painéis do SIEM do Google Security Operations:

• Opções de gráfico de colunas
• Opções de gráfico de barras
• Opções de gráfico de dispersão
• Opções de gráfico de linhas
• Opções de gráfico de área
• Opções de diagrama de caixa
• Opções de gráfico de cascata
• Opções do gráfico de pizza
• Opções de gráfico de rosca múltiplo
• Opções de gráfico de funil
• Opções de gráfico de linha do tempo
• Opções de gráfico de valor único
• Opções de gráfico de registro único
• Opções de gráfico de tabela
• Opções de gráfico de tabela (legado)
• Opções de gráfico de nuvem de palavras
• Opções de gráficos do Google Maps
• Opções de gráfico de mapa
• Opções de gráfico de mapa estático (regiões)
• Opções de gráfico de mapa estático (pontos)

Usando o botão Executar na caixa de diálogo Editar bloco, é possível mostrar uma prévia usando os campos selecionados e o tipo de visualização. Atualize a visualização depois de ajustar e modificar a configuração do bloco clicando em Executar.

Selecionar campos para usar como filtros

Com os filtros, é possível restringir os dados mostrados na visualização para exibir apenas os itens de interesse. Você cria filtros usando campos no modelo de dados de análise detalhada.

O painel do SIEM do Google Security Operations é baseado na tecnologia do Looker, incluindo filtros do Looker. É possível criar os seguintes tipos de filtros em um bloco:

• Os filtros padrão criam filtros usando campos predefinidos ou personalizados. Defina esses filtros usando a seção Filtros da caixa de diálogo Editar bloco.
• Filtros personalizados com expressões do Looker: especifique uma lógica de negócios detalhada, combine a lógica AND e OR ou use funções do Looker. Clique no botão Expressão personalizada na seção Filtros da caixa de diálogo Editar bloco.

Alguns campos predefinidos estão disponíveis para uso em um filtro. Esses campos aparecem na seção Todos os campos somente quando o modelo de dados inclui campos somente filtro predefinidos.

Siga estas etapas para adicionar um filtro a um bloco:

1. Abra um painel para editar ou crie um novo.
2. Abra um bloco para editar.
3. Na seção Todos os campos, selecione os campos que você quer usar como filtros clicando em filter_list Filtrar por campo ao lado de cada nome de campo.

4. Na seção Filtros, você pode:

   • Defina as condições de filtro para cada campo listado na seção Filtros.
   • Clique em Expressão personalizada e adicione valores no campo Filtro personalizado.

5. Clique em Executar para atualizar a prévia da visualização.

Exemplos que resolvem casos de uso específicos

As seções a seguir descrevem como criar visualizações que oferecem suporte a casos de uso específicos.

Criar um bloco que mostre tipos de IOC

Siga estas etapas para adicionar um bloco ao painel e monitorar tipos de IOCs:

1. Abra um painel para editar ou crie um novo.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Escolher uma análise detalhada, selecione Correspondências de IOC.
4. Insira um nome para o bloco.
5. Selecione as seguintes Dimensões: Tipo de IoC e Data do carimbo de data/hora do evento > Data.
6. Selecione as seguintes Medidas: Contagem.
7. Na guia Em uso, passe o cursor sobre o campo Data e hora do evento e selecione filter_list Filtrar por campo. Isso adiciona o campo à seção Filtros.
8. Na seção Filtros, aplique as condições que você quer usar.
9. Na seção Visualização, selecione o ícone Coluna.

10. Na seção Dados, faça o seguinte:

    • Clique no cabeçalho Contagem de correspondências de IoC para classificar os campos em ordem crescente ou decrescente.
    • Defina o Limite de linhas como um valor, como 50, para limitar as linhas que aparecem na visualização.

11. Depois de configurar o bloco, clique em Executar para visualizar a representação usando dados do Google SecOps. A prévia é mostrada com os tipos de IOC por correspondências de IOC com a data e hora do evento.

    A imagem a seguir mostra um exemplo do gráfico criado usando essas etapas.

    

12. Clique em Salvar.

A página Dashboards aparece com o bloco recém-adicionado.

Criar um bloco com campos enumerados

O modelo de dados unificado do Google Security Operations SIEM inclui vários campos enumerados com valores armazenados como texto e números. Os valores associados a cada campo de enumeração podem ser encontrados na lista de campos da UDM.

Em algumas análises detalhadas, o valor de texto e o valor numérico do campo de enumeração são armazenados em campos separados. Por exemplo, com o campo metadata.event_type, um dos valores de enumeração é FILE_CREATION e o número relacionado é 14001.

Em uma análise detalhada, os seguintes campos armazenam os valores de metadata.event_type:

• metadata.event_type armazena o valor numérico 14001.
• metadata.event_type_enum_name armazena o valor de texto, FILE_CREATION.

Ao adicionar um campo enumerado a um bloco, adicione o campo que armazena o valor de texto em vez do número.

Use as instruções a seguir para adicionar um bloco com campos enumerados a um painel:

1. Abra um painel para editar ou crie um novo.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Escolher uma análise detalhada, selecione Eventos da UDM.
4. Insira um nome para o bloco.
5. Em Encontrar um campo, pesquise um campo da UDM, como metadata.event_type.
6. Em Dimensões, selecione metadata.event_type_enum_name e security_result.action_enum_name.
7. Em Medidas, selecione Contagem.
8. Na guia Em uso, mantenha o ponteiro sobre o campo security_result.action_enum_name e selecione filter_listFiltrar por campo. Isso mostra os filtros do campo selecionado na seção Filtros.
9. Na seção Filtros, selecione é igual a e BLOCK como valores.
10. Na seção Visualização, selecione o ícone Tabela.

11. Na seção Dados, faça o seguinte:

    • Clique no cabeçalho Contagem de UDM para classificar os campos em ordem crescente ou decrescente.
    • Defina o Limite de linhas como um valor (por exemplo, 50) para limitar as linhas que aparecem na visualização.

12. Clique em Executar para visualizar a visualização usando dados do Google SecOps. A prévia é exibida mostrando os valores de metadata.event_type por contagem em que o nome security_result.action_enum é BLOCK.

    A imagem a seguir mostra um exemplo do gráfico criado usando essas etapas.

    

13. Clique em Salvar.

A página Painéis é exibida com o bloco recém-adicionado.

Usar uma rotação em uma tabela de dados

Você pode usar uma tabela dinâmica para mostrar contagens de eventos em várias dimensões.

O bloco a seguir mostra as contagens de eventos em todos os valores nos campos metadata.event_type_enum_name e security_result_action_enum_name. Neste exemplo, um pivô é aplicado ao campo security_result_action_enum_name.

Conclua as etapas a seguir para criar essa tabela de dados com uma rotação:

1. Abra um painel para editar ou crie um novo.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Escolher uma análise detalhada, selecione Eventos da UDM.
4. Insira um nome para o bloco.
5. Selecione os campos metadata.event_type_enum_name e security_result_action_enum_name da Dimensão.
6. Selecione o campo Métrica Count.
7. Na seção Filtro, crie os seguintes filtros:
   • UDM metadata_event_timestamp está nas últimas 2 horas.
   • UDM security_result.action_enum_name não é nulo.
8. Na guia Em uso, verifique se os seguintes campos estão sendo mostrados. Se algum estiver faltando, repita as etapas anteriores para configurar o bloco.
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Na seção Dados, clique no ícone settings no cabeçalho da coluna security_result.action_enum_name e selecione Tabela dinâmica.
10. Uma nova linha aparece na grade em Dados.
11. Na seção Visualização, selecione o ícone Tabela.
12. Clique em Executar para mostrar uma prévia da visualização.

A imagem a seguir mostra essas opções de configuração na caixa de diálogo Editar bloco.

Opções de configuração para rotação em uma tabela de dados

Usar uma tabela dinâmica com campos de data para criar um gráfico de tempo

É possível usar uma tabela dinâmica com campos de data para criar um gráfico de tempo. O bloco a seguir mostra as contagens de eventos por hora para valores nos campos security_result_action_enum_name.

Neste exemplo, um pivô é aplicado ao campo security_result_action_enum_name. O filtro limita o período e filtra os dados em que o valor security_result_action_enum_name é null. Ele usa o campo de data metadata.event_timestamp Hour predefinido que particiona os dados por hora.

Para usar uma tabela dinâmica com campos de dados, faça o seguinte:

1. Abra um painel para editar ou crie um novo.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Escolher uma análise detalhada, selecione Eventos da UDM.
4. Insira um nome para o bloco.
5. Selecione os campos Dimensão: metadata.event_timestamp Hour e security_result_action_enum_name.
6. Selecione o campo Medida: Count.
7. Na seção Filtro, crie os seguintes filtros:
   • UDM metadata_event_timestamp está no período e selecione uma data e hora de início e término.
   • UDM security_result.action_enum_name não é nulo.
8. Na guia Em uso, verifique se os seguintes campos estão sendo mostrados. Se algum estiver faltando, repita as etapas anteriores para configurar o bloco.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Na seção Dados, clique no ícone settings no cabeçalho da coluna security_result.action_enum_name e selecione Tabela dinâmica. Uma nova linha aparece na grade de dados.
10. Na seção Visualização, selecione o ícone Tabela.
11. Clique em Executar para mostrar uma prévia da visualização.

A imagem a seguir mostra essas opções de configuração na caixa de diálogo Editar bloco.

Opções de configuração para criar uma tabela dinâmica em um campo de data

Criar um gráfico com medidas detalhadas de carimbo de data/hora

É possível criar um gráfico com contagens de eventos para cada tipo de registro, além do carimbo de data/hora do evento mais antigo (min) e mais recente (max). Esse gráfico usa o campo metadata.product_name para identificar o tipo de registro.

Siga estas etapas para criar um gráfico com carimbos de data/hora min ou max:

1. Abra um painel para editar ou crie um novo.

2. Clique em Adicionar > Visualização.

3. Na caixa de diálogo Escolher uma análise detalhada, selecione Eventos da UDM.

4. Insira um nome para o bloco.

5. Selecione o campo Dimensão: metadata.product_name.

6. Selecione os campos Métrica: Count, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date.

7. Clique em Executar para visualizar a visualização. A prévia é exibida mostrando os valores metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date no formato de data.

8. Clique em Salvar. A página Painéis aparece com o gráfico recém-adicionado. O gráfico inclui as colunas metadata.product_name, UDM, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date com valores.

   Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.