Adicionar uma visualização de gráfico a um painel

Para adicionar um gráfico ou outra visualização a um painel, use um bloco de visualização. O bloco de visualização exibe dados da visualização do LookML associada, chamada de um Análise, selecionada ao criar o bloco. Neste documento, descrevemos o seguinte:

• Como criar gráficos e outras visualizações usando o bloco de visualização.
• Como criar visualizações de dados que atendam a casos de uso específicos.

Visão geral do processo

Em um nível superior, você realiza as seguintes ações para criar uma visualização em um dashboard:

1. Adicionar um bloco de visualização ao dashboard.
2. Selecione "Explorar". Uma Análise é um ponto de partida para o novo e representa um modelo de dados específico.
3. Selecione os campos de dados para a visualização. Os campos predefinidos são agrupados em um dos os seguintes tipos:
   • Dimensões: atributos dos dados que descrevem os dados. Exemplo: a metragem quadrada e o material de construção de um museu são dimensões diferentes em um conjunto de dados de museu.
   • Medidas: representação numérica de uma ou mais dimensões ou atributo único dos dados, como contagem ou média.
   • Campos somente para filtro: campos predefinidos que podem ser usados somente em um filtro.
4. Opcionalmente, crie e adicione campos personalizados ao bloco que ofereça suporte a um caso de uso específico.
5. Configure o bloco selecionando o seguinte:
   • Visualização: mostra os campos que você selecionou visualmente. Por exemplo, um gráfico de linhas pode mostrar tendências ao longo do tempo.
   • Filtros: restrinja a visualização para mostrar apenas dados de interesse. Qualquer campo em uma Análise detalhada pode ser usado para criar um filtro.
6. Execute a visualização para conferir os resultados.
7. Salve o bloco de visualização.

As seções a seguir deste documento fornecem informações mais detalhadas sobre configurar cada componente em um bloco de visualização.

Exemplo: criar uma tabela de dados

As etapas a seguir dão mais detalhes sobre como criar uma tabela de dados usando uma bloco de visualização e mostrar as opções de configuração na caixa de diálogo Editar bloco.

1. Em Painéis pessoais ou Painéis compartilhados, selecione um painel e e clique em more_vert Ações do dashboard > Editar painel.
2. Clique em Adicionar > Visualização.
3. Selecione um modelo de dados Análise. A caixa de diálogo Editar bloco é exibida.
4. Digite um nome de bloco exclusivo.
5. Em Todos os campos, selecione os campos predefinidos: Dimensões e Medidas. Normalmente, você precisa escolher pelo menos dois campos para criar uma visualização. Os campos selecionados aparecem na seção Dados.
6. Opcionalmente, crie e adicione quaisquer campos personalizados necessários para a visualização. Eles aparecerão na seção Dados.
7. Na seção Visualização, selecione Tabela como o tipo de visualização. A visualização mostra os campos de dados selecionados na tabela.
8. Na seção Filtros, defina filtros que restrinjam a visualização para mostrar apenas os dados de interesse. Qualquer campo em uma Análise detalhada pode ser usado para criar um filtro.
9. Na seção Dados, faça o seguinte:
   • Clique em Explorar o cabeçalho do campo para classificar os campos em ordem crescente ou decrescente.
   • Defina Limite de linhas para limitar o número de linhas que aparecem na visualização.
10. Clique em Executar para visualizar a visualização usando os dados do SIEM do Google Security Operations.
11. Clique em Salvar. O Painel vai aparecer com o bloco recém-adicionado.

A imagem a seguir identifica o local na caixa de diálogo Edit Tile em que você realiza essas etapas.

Caixa de diálogo "Editar bloco de bloco com configuração"

Escolher um modelo de dados da Análise

O SIEM do Google Security Operations fornece vários modelos de dados que você pode usar para criar em um painel. Cada modelo de dados é uma análise do Looker que define um subconjunto de campos do UDM.

Uma análise detalhada é um ponto de partida para criar um novo bloco de visualização. Ele foi projetado um modelo de dados específico. Você seleciona uma Análise de modelo de dados para cada bloco de visualização.

O SIEM do Google Security Operations oferece o seguinte modelo de dados da Análises:

• Gráfico de entidades
• Correspondências de IOC
• Métrica de ingestão com estatísticas de ingestão
• Métricas de ingestão
• Estatísticas de ingestão
• Detecções de regras
• Conjuntos de regras com detecções
• Eventos de UDM
• Agregações de eventos de UDM

Como opção, é possível criar campos personalizados para serem usados apenas com o bloco em que foram criados.

Selecionar campos para a visualização do gráfico

Depois de selecionar "Explorar" para um bloco, os campos UDM predefinidos vão aparecer na guia Todos os campos na caixa de diálogo Explorar.

Depois que você selecionar os campos na guia Todos os campos, eles vão aparecer na Guia Em uso e a seção Dados. As subseções a seguir descrevem os tipos de campos que você pode escolher para criar uma visualização de gráfico.

Campos predefinidos

Cada Análise inclui um conjunto diferente de campos de UDM predefinidos. Os campos predefinidos disponíveis no bloco são específicos para o modelo de dados selecionado na caixa de diálogo Escolher uma análise detalhada.

Os campos predefinidos são agrupados nos seguintes tipos:

• Dimensões
• Medidas
• Campos somente para filtros

Os ícones ao lado de cada campo mostram mais informações e indicam as opções disponíveis. como Filtrar por campo, Dados dinâmicos, Agregar, Bin ou Grupo. Clique no ícone Informações para conferir o texto de ajuda do campo. Esses ícones ficam visíveis quando você segura o ponteiro sobre um campo. Para saber mais, consulte Ações e informações específicas do campo.

Você pode usar campos predefinidos para criar dimensões e medições personalizadas criar cálculos de tabela e aplicar filtros ao bloco.

Uma Análise pode incluir campos descontinuados que não têm mais suporte. Os campos descontinuados são identificados por um nome de campo seguido de [D].

Alguns modelos de dados incluem campos somente para filtros predefinidos que só podem ser usados em um filtro. Os campos somente de filtro em um modelo de dados podem incluir um ou mais dos seguintes tipos de campo:

• Campos de UDM individuais
• Campos UDM agrupados

Alguns modelos de dados do Google Analytics incluem medidas mais detalhadas para campos que armazenam um carimbo de data/hora (por exemplo, principal.artifact.first_seen_time e security_result.about.file.last_modification_time).

Essas medidas separam o carimbo de data/hora em incrementos mais granulares, como hora, dia, semana ou ano. O modelo também fornece uma medida mínima e máxima para cada incremento. Isso permite criar gráficos mais detalhados que agregam contagens de eventos com base em incrementos de tempo e tempo.

Campos personalizados

Os campos personalizados são aqueles que você cria usando os campos predefinidos disponíveis no o modelo de dados para o bloco. Os campos personalizados só podem ser usados nesse bloco.

É possível criar qualquer um dos seguintes tipos de campos personalizados:

• Dimensões personalizadas
• Medidas personalizadas
• Expressões de tabela personalizadas

Para acessar o menu de campos personalizados na caixa de diálogo Editar bloco, clique em + Adicionar em Todos os campos > Seção Campos personalizados. A imagem a seguir mostra a localização do menu.

Criar uma dimensão personalizada

As dimensões personalizadas são atributos exclusivos que ajudam você a descrever os dados. Por exemplo: A concatenação do nome e do sobrenome de um usuário pode ser uma dimensão personalizada.

Siga estas etapas para adicionar uma dimensão personalizada a um bloco:

1. Abra um painel para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Custom Fields da caixa de diálogo Edit Tile, clique em + Add > Custom Dimension. A caixa de diálogo Criar dimensão personalizada será exibida.
4. Na caixa de diálogo Criar dimensão personalizada, faça o seguinte:
   1. No campo Expressão, insira uma expressão do Looker que define o valor usando qualquer função e operador do Looker. O editor de expressões do Looker sugere nomes de campos e mostra ajuda de sintaxe para todas as funções que você usa. Veja a seguir exemplos de expressões:
      • Concatena o nome do feed de IOC e o valor do IOC. É possível usar este exemplo somente na Análise de correspondências de IOC. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Retorna o primeiro valor que não está vazio. O pedido é nome do host e depois endereço IP. Se nenhuma delas existir, _ será exibido. Você só pode usar esse exemplo na Análise do gráfico de entidades. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Selecione um formato no menu Formatar.
   3. Especifique o nome da dimensão personalizada no campo Nome. Esse valor vai aparecer na guia Todos os campos e na tabela Dados.
   4. Selecione + Adicionar descrição para inserir uma descrição no campo Descrição.
   5. Clique em Salvar.

A guia Todos os campos mostra o campo na seção Campos personalizados. Assim como em outros campos, você pode selecionar uma dimensão personalizada para adicionar ou remover do bloco.

Criar medidas personalizadas

As medidas são uma representação numérica de uma ou mais dimensões (ou atributos exclusivos dos dados), como contagem ou média. As medições permitem calcular chaves indicadores de desempenho (KPIs) e ajudam os usuários a analisar dados usando diferentes atributos agregados.

Com as medidas personalizadas, você pode definir um cálculo numérico específico para um campo. Dependendo do tipo de campo, apenas alguns tipos de medidas estão disponíveis.

Siga estas etapas para adicionar uma medida personalizada a um bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, clique em + Adicionar. e selecione Medição personalizada. A caixa de diálogo Criar medição personalizada vai aparecer.

4. Na caixa de diálogo Criar medida personalizada, faça o seguinte:

   1. Selecione um campo no menu Campo a ser medido.
   2. Selecione um tipo de medida no menu Tipo de medida.
   3. Especifique um nome no campo Nome. O nome aparece no seletor de campo. e na tabela de dados.

   4. Na guia Filtros, faça o seguinte:

      1. Para adicionar uma condição de filtro, selecione um campo no menu Nome do filtro. É possível adicionar ou remover condições de filtro usando os botões add_circle_outline e remove_circle_outline Filtrar valor, respectivamente.
      2. Selecione a seta ao lado de Filtro personalizado para criar uma expressão de filtro personalizado usando qualquer função e operador do Looker que possa ser usado em filtros personalizados. O editor de expressão do Looker sugere nomes de campos e exibe a ajuda de sintaxe para as funções que você usa. Veja a seguir exemplos de expressões:
         • Mede registros de feeds de IOC para valores exclusivos. Você só pode usar esse exemplo na Análise IOC Matches. ${ioc_matches.feed_log_type} != ""
         • Mede os segundos do bucket de um dia de IOC: ${ioc_matches.day_bucket_seconds}

   5. Na guia Detalhes do campo, faça o seguinte:

      • Selecione um formato no menu Formatar.
      • Se quiser, adicione uma descrição de até 255 caracteres no campo Descrição para fornecer a outros usuários detalhes adicionais sobre o campo personalizado.

   6. Clique em Salvar.

A guia Todos os campos exibe o campo na seção Campos personalizados. Assim como em outros campos, é possível selecionar o campo personalizado para adicionar ao bloco.

Criar um cálculo de tabela personalizado

Os cálculos de tabela permitem criar métricas ad hoc. Eles são comparáveis a fórmulas encontradas em ferramentas de planilhas, como o Planilhas Google.

O Google Security Operations oferece a opção de adicionar cálculos personalizados a um Bloco. Esses cálculos de tabelas personalizadas são criados usando expressões do Looker. Você só pode criar cálculos de tabela usando os campos em Explore.

Conclua as etapas a seguir para criar um cálculo de tabela e adicioná-lo a um bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Campos personalizados da caixa de diálogo Editar bloco, Clique em + Adicionar > Cálculo da tabela. A caixa de diálogo Criar cálculo de tabela é exibida.
4. Na caixa de diálogo Criar cálculo da tabela, faça o seguinte:
   1. Selecione um tipo de cálculo no menu Cálculo. As opções de uma Expressão personalizada são exibidas por padrão.
   2. Insira uma expressão do Looker no campo. para definir um cálculo. Veja a seguir exemplos de expressões de cálculos de tabela:
      • A expressão a seguir usa a função diff hours para mostram a diferença entre dois carimbos de data/hora. Use este exemplo somente em Detecções de regras. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • A expressão a seguir conta os valores de IOC. Use este exemplo somente na Análise de correspondências de IOC. count(${ioc_matches.ioc_value})
   3. Selecione um formato no menu Formatar.
   4. Insira um nome para o cálculo no campo Nome.
   5. Selecione + Adicionar descrição para adicionar uma descrição opcional a outras pessoas aos usuários mais contexto sobre o cálculo da tabela.
   6. Clique em Salvar.

A guia Todos os campos exibe o campo na seção Campos personalizados. Assim como acontece com outros campos, você pode selecionar o campo de cálculo personalizado para adicioná-lo ou removê-lo do bloco.

Selecionar o tipo de gráfico de visualização

As visualizações exibem os dados visualmente para ajudar você a detectar anomalias e tendências. O painel do SIEM do Google Security Operations é baseado na tecnologia do Looker, incluindo as visualizações do Looker.

Confira a seguir os tipos de visualização que podem ser usados no SIEM das Operações de segurança do Google painéis:

• Opções do gráfico de colunas
• Opções do gráfico de barras
• Opções do gráfico de dispersão
• Opções do gráfico de linhas
• Opções do gráfico de área
• Opções do diagrama de caixa
• Opções do gráfico de cascata
• Opções do gráfico de pizza
• Opções do gráfico de rosca
• Opções do gráfico de funil
• Opções de gráficos de linha do tempo
• Opções do gráfico de valor único
• Opções do gráfico de registro único
• Opções de gráficos de tabela
• Opções de gráfico de tabela (legada)
• Opções de gráfico de nuvem de palavras
• Opções de gráfico do Google Maps
• Opções do gráfico de mapa
• Opções do gráfico de mapa estático (regiões)
• Opções do gráfico de mapa estático (pontos)

Usando o botão Executar na caixa de diálogo Editar bloco, você pode exibir uma visualização usando os campos selecionados e o tipo de visualização. Atualizar a visualização após o ajuste e modificando a configuração do bloco clicando em Run.

Selecionar campos para usar como filtros

Os filtros permitem restringir os dados exibidos na visualização para mostrar apenas itens de interesse. Você cria filtros usando campos no modelo de dados do recurso Explorar.

O dashboard do SIEM do Google Security Operations é baseado na tecnologia Looker, incluindo filtros do Looker. Você pode criar os seguintes tipos de filtro em um bloco:

• Filtros padrão criam usando campos predefinidos ou personalizados. Defina esses filtros usando o método Seção Filtros da caixa de diálogo Editar bloco.
• Filtros personalizados com Expressões do Looker: especifique uma lógica de negócios detalhada, combine os dois a lógica AND e OR ou use as funções do Looker. Clique em Expressão personalizada na seção Filtros da caixa de diálogo Editar bloco.

Alguns campos predefinidos estão disponíveis para uso em um filtro. Esses campos aparecem na seção Todos os campos somente quando o modelo de dados inclui campos somente filtro predefinidos.

Siga estas etapas para adicionar um filtro a um bloco:

1. Abra um painel atual para editar ou crie um novo painel.
2. Abra um bloco para editar.
3. Na seção Todos os campos, selecione os campos que você quer usar como filtros. Clique no filter_list Filtrar por campo ao lado do nome de cada campo.

4. Na seção Filtros, é possível:

   • Defina as condições de filtro para cada campo listado na seção Filtros.
   • Clique em Expressão personalizada e adicione valores no campo Filtro personalizado.

5. Clique em Executar para atualizar a visualização da visualização.

Exemplos que resolvem casos de uso específicos

As seções a seguir descrevem como criar visualizações que oferecem suporte a casos de uso específicos.

Criar um bloco que mostre tipos de IOC

Siga estas etapas para adicionar um bloco ao painel e monitorar os tipos de IOC:

1. Abra um painel para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione Correspondências de IOC.
4. Digite o nome de um bloco.
5. Selecione as seguintes dimensões: Tipo de IoT e Data do carimbo de data/hora do evento > Date;
6. Selecione as seguintes Medidas: Contagem.
7. Na guia Em uso, mantenha o ponteiro sobre a Data do carimbo de data/hora do evento. campo e, em seguida, selecione filter_list Filtrar por campo. Isso adiciona o campo à seção Filtros.
8. Na seção Filtros, aplique as condições que você quer usar.
9. Na seção Visualização, selecione o ícone Colunas.

10. Na seção Dados, faça o seguinte:

    • Clique no cabeçalho Ioc Matches Count para classificar os campos em ordem crescente ou decrescente.
    • Defina o Limite de linhas como um valor, por exemplo, 50, para limitar as linhas que aparecem na visualização.

11. Depois de configurar o bloco, clique em Executar para visualizar a visualização. usando dados das Operações de segurança do Google. A visualização é exibida com o Os tipos de IOC por IOC correspondem à data do carimbo de data/hora do evento.

    A imagem a seguir mostra um exemplo do gráfico criado seguindo essas etapas.

    

12. Clique em Salvar.

A página Painéis é exibida com o bloco recém-adicionado.

Criar um bloco com campos enumerados

O Modelo de dados unificado SIEM das Operações de Segurança do Google inclui vários campos enumerados com valores armazenados como texto e números. Os valores associados a cada campo de tipo enumerado podem podem ser encontrados na lista de campos de UDM.

Em alguns Análises detalhadas, o valor de texto e o valor numérico do campo de tipo enumerado são armazenados em campos separados. Por exemplo, com o campo metadata.event_type, um dos valores de tipo enumerado é FILE_CREATION, e o número relacionado é 14001.

Em uma Análise detalhada, os seguintes campos armazenam os valores de metadata.event_type:

• metadata.event_type armazena o valor numérico, 14001.
• metadata.event_type_enum_name armazena o valor de texto, FILE_CREATION.

Ao adicionar um campo enumerado a um Bloco, adicione o campo que armazena o valor de texto em vez do número.

Use as instruções a seguir para adicionar um bloco com campos enumerados a um painel:

1. Abra um painel para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Insira um nome para o bloco.
5. Em Encontrar um campo, pesquise um campo de UDM, como metadata.event_type.
6. Em Dimensões, selecione metadata.event_type_enum_name e security_result.action_enum_name.
7. Em Medidas, selecione Contagem.
8. Na guia Em uso, mantenha o ponteiro sobre security_result.action_enum_name. campo e, em seguida, selecione filter_listFiltrar por campo. Isso mostra os filtros do campo selecionado na seção Filtros.
9. Na seção Filtros, selecione é igual a e BLOCO como valores.
10. Na seção Visualização, selecione o ícone Tabela.

11. Na seção Dados, faça o seguinte:

    • Clique no cabeçalho Contagem de UDM para classificar os campos em ordem crescente ou decrescente.
    • Defina o Limite de linhas como um valor (por exemplo, 50) para limitar as linhas que aparecem na visualização.

12. Clique em Executar para visualizar a visualização usando os dados das Operações de segurança do Google. A visualização é exibida, mostrando os valores de metadata.event_type por contagem. em que o nome security_result.action_enum é BLOCK.

    A imagem a seguir mostra um exemplo do gráfico criado seguindo essas etapas.

    

13. Clique em Salvar.

A página Painéis é mostrada com o bloco recém-adicionado.

Usar uma tabela dinâmica em uma tabela de dados

Você pode usar uma Tabela dinâmica para exibir contagens de eventos em várias dimensões.

O bloco a seguir exibe as contagens de eventos em valores na Campos metadata.event_type_enum_name e security_result_action_enum_name. Neste exemplo, uma tabela dinâmica é aplicada ao campo security_result_action_enum_name.

Conclua as etapas a seguir para criar essa tabela de dados que contém uma tabela dinâmica:

1. Abra um painel para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Digite o nome de um bloco.
5. Selecione os campos Dimensão metadata.event_type_enum_name e security_result_action_enum_name.
6. Selecione o campo Métrica Count.
7. Na seção Filtro, crie os seguintes filtros:
   • UDM metadata_event_timestamp nas últimas duas horas.
   • UDM security_result.action_enum_name não é nulo.
8. Na guia Em uso, verifique se os campos a seguir são exibidos. Se houver estiverem faltando, repita as etapas anteriores para configurar o bloco.
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Na seção Dados, clique no ícone settings no cabeçalho da coluna security_result.action_enum_name e selecione Pivotar.
10. Uma nova linha aparece na grade em Dados.
11. Na seção Visualização, selecione o ícone Tabela.
12. Clique em Executar para conferir uma prévia da visualização.

A imagem abaixo mostra essas opções de configuração na caixa de diálogo Editar bloco.

Opções de configuração para tabela dinâmica em uma tabela de dados

Usar uma tabela dinâmica com campos de data para criar um gráfico de tempo

Você pode usar uma tabela dinâmica com campos de data para criar um gráfico de tempo. O bloco a seguir mostra a contagem de eventos por hora para valores nos campos security_result_action_enum_name.

Neste exemplo, uma tabela dinâmica é aplicada ao campo security_result_action_enum_name. O filtro limita o intervalo de datas e filtra os dados em que o valor security_result_action_enum_name é null. Ele usa o campo de data metadata.event_timestamp Hour predefinido. que particiona os dados por hora.

Para usar uma tabela dinâmica com campos de dados, faça o seguinte:

1. Abra um painel atual para editar ou crie um novo painel.
2. Clique em Adicionar > Visualização.
3. Na caixa de diálogo Choose an Explore, selecione UDM Events.
4. Digite o nome de um bloco.
5. Selecione os campos Dimensão: metadata.event_timestamp Hour e security_result_action_enum_name.
6. Selecione o campo Medir: Count.
7. Na seção Filtro, crie os seguintes filtros:
   • UDM metadata_event_timestamp está no intervalo e selecione uma data e um horário de início e de término.
   • UDM security_result.action_enum_name não é nulo.
8. Na guia Em uso, verifique se os campos a seguir são exibidos. Se houver estiverem faltando, repita as etapas anteriores para configurar o bloco.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. Na seção Dados, clique no ícone settings no cabeçalho da coluna security_result.action_enum_name e selecione Pivotar. Uma nova linha aparece na grade de dados.
10. Na seção Visualização, selecione o ícone Tabela.
11. Clique em Executar para conferir uma prévia da visualização.

A imagem abaixo mostra essas opções de configuração na caixa de diálogo Editar bloco.

Opções de configuração de tabela dinâmica em um campo de data

Criar um gráfico com medidas detalhadas de carimbo de data/hora

É possível criar um gráfico com as contagens de eventos de cada tipo de registro, além do carimbo de data/hora do evento mais antigo (min) e do mais recente (max). Este gráfico usa metadata.product_name para identificar o tipo de registro.

Siga estas etapas para criar um gráfico com carimbos de data/hora min ou max:

1. Abrir um painel para editar ou crie um novo painel.

2. Clique em Adicionar > Visualização.

3. Na caixa de diálogo Choose an Explore, selecione UDM Events.

4. Digite o nome de um bloco.

5. Selecione o campo Dimensão: metadata.product_name.

6. Selecione os campos de Measure: Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date.

7. Clique em Run para conferir uma prévia da visualização. A prévia é mostrada mostrando o metadata.event_timestamp (min) Date e o metadata.event_timestamp (max) Date. valores no formato de data.

8. Clique em Salvar. A página Painéis é exibida com o gráfico recém-adicionado. O gráfico inclui as colunas metadata.product_name, UDM, metadata.event_timestamp (min) Date e metadata.event_timestamp (max) Date com valores.