向信息中心添加图表可视化效果

如需向信息中心添加图表或其他可视化图表，请使用可视化图块。可视化图块会显示相关联的 LookML 视图（称为“探索”）中的数据，该视图是您在创建图块时选择的。本文档介绍了以下内容：

• 如何使用可视化图块创建图表和其他可视化图表。
• 如何创建满足特定应用场景的数据可视化图表。

流程概览

概括来讲，您需要执行以下操作才能在信息中心内创建可视化图表：

1. 向信息中心添加可视化图块。
2. 选择探索。探索是新图块的起点，表示特定的数据模型。
3. 为可视化图表选择数据字段。预定义字段分为以下类型之一：
   • 维度：描述数据的属性。示例：博物馆的面积和建筑材料是博物馆数据集中的不同维度。
   • 衡量指标：一个或多个维度或数据的唯一属性（例如数量或平均值）的数值表示形式。
   • 仅限过滤条件的字段：只能在过滤条件中使用的预定义字段。
4. （可选）为支持特定使用情形的功能块创建并添加自定义字段。
5. 选择以下内容来配置功能块：
   • 可视化图表：以直观方式显示您选择的字段。 例如，折线图可以显示随时间变化的趋势。
   • 过滤条件：限制可视化图表，使其仅显示感兴趣的数据。 探索中的任何字段都可用于创建过滤条件。
6. 运行可视化图表以预览结果。
7. 保存可视化图块。

本文档的以下部分详细介绍了如何配置可视化图块中的每个组件。

示例：创建数据表

以下步骤更详细地介绍了如何使用可视化图块创建数据表，并展示了修改图块对话框中的配置选项。

1. 在个人信息中心或共享信息中心中，选择一个信息中心，然后依次点击 more_vert 信息中心操作 > 修改信息中心。
2. 依次点击添加 > 可视化图表。
3. 选择一个 Explore 数据模型。系统会显示修改功能块对话框。
4. 输入唯一图块名称。
5. 在所有字段中，选择预定义字段：维度和度量。 您通常需要选择至少两个字段才能创建可视化图表。 您选择的字段会显示在数据部分中。
6. （可选）创建并添加可视化图表所需的任何自定义字段。 它们将显示在数据部分。
7. 在可视化图表部分中，选择表格作为可视化图表类型。 可视化图表会显示表格中所选的数据字段。
8. 在过滤条件部分，定义过滤条件，以限制可视化图表仅显示感兴趣的数据。探索中的任何字段都可用于创建过滤条件。
9. 在数据部分中，执行以下操作：
   • 点击探索字段标题，按升序或降序对字段进行排序。
   • 设置行数限制，以限制可视化图表中显示的行数。
10. 点击运行，使用 Google Security Operations SIEM 数据预览可视化图表。
11. 点击保存。信息中心会显示新添加的板块。

下图显示了您在修改功能块对话框中执行这些步骤的位置。

修改了包含配置的功能块对话框

选择一个探索数据模型

Google Security Operations SIEM 提供多种数据模型，可用于构建信息中心。每个数据模型都是一个 Looker 探索，用于定义 UDM 字段的子集。

探索是创建新可视化图块的起点。它旨在探索特定的数据模型。您可以为每个可视化图块选择一个数据模型探索。

Google Security Operations SIEM 提供以下数据模型探索：

• 实体图表
• IOC 匹配项
• 包含提取统计信息的提取指标
• 提取指标
• 提取统计信息
• 规则检测
• 检测到违规行为的规则集
• UDM 事件
• UDM 事件汇总

您可以选择创建仅在创建它们的图块中使用的自定义字段。

选择图表呈现方式的字段

为某个图块选择“探索”后，预定义的 UDM 字段会显示在“探索”对话框的所有字段标签页下。

从所有字段标签页中选择字段后，这些字段会同时显示在正在使用标签页和数据部分中。以下各子部分介绍了可用于创建图表可视化的字段类型。

预定义字段

每个探索都包含一组不同的预定义 UDM 字段。信息块中提供的预定义字段特定于您从选择探索对话框中选择的数据模型。

预定义字段分为以下类型：

• 维度
• 测量
• 仅限过滤条件的字段

每个字段旁边的图标会显示更多信息，并指明可用的选项，例如按字段过滤、透视数据、聚合、分箱或分组。点击信息图标可查看相应字段的帮助文本。当您将指针悬停在某个字段上时，这些图标会显示出来。如需了解详情，请参阅特定字段的信息和操作。

您可以使用预定义字段创建自定义维度、自定义度量、表格计算，以及向图块应用过滤条件。

探索可能包含不再受支持的已弃用字段。 已弃用的字段通过字段名称后跟 [D] 进行标识。

某些数据模型包含预定义的仅限过滤的字段，这些字段只能在过滤条件中使用。数据模型中的仅限过滤条件的字段可以包含以下一种或多种字段类型：

• 各个 UDM 字段
• 分组 UDM 字段

某些探索数据模型（例如 UDM 事件）包含用于存储时间戳的字段（例如 principal.artifact.first_seen_time 和 security_result.about.file.last_modification_time）的更精细的衡量指标。

这些指标会将时间戳细分为更精细的时间增量，例如小时、天、周或年。该模型还为每个增量提供了最小值和最大值。这样，您就可以创建更详细的图表，根据时间和时间增量汇总事件计数。

自定义字段

自定义字段是指您使用数据模型中适用于相应功能块的预定义字段创建的字段。自定义字段只能在该板块中使用。

您可以创建以下任一类型的自定义字段：

• 自定义维度
• 自定义衡量指标
• 自定义表格表达式

如需在修改功能块对话框中访问自定义字段菜单，请依次点击所有字段 > 自定义字段部分下的 + 添加。 下图显示了菜单位置。

创建自定义维度

自定义维度是可帮助您描述数据的特有属性。例如，用户名字和姓氏的串联可以是自定义维度。

如需向图块添加自定义维度，请完成以下步骤：

1. 打开现有信息中心以进行修改，或创建新信息中心。
2. 打开功能块以进行修改。
3. 在修改功能块对话框的自定义字段部分中，依次点击 + 添加 > 自定义维度。系统会显示创建自定义维度对话框。
4. 在创建自定义维度对话框中，执行以下操作：
   1. 在表达式字段中，输入使用任何 Looker 函数和运算符定义值的 Looker 表达式。 Looker 表达式编辑器会建议字段名称，并显示您使用的任何函数的语法帮助。 以下是一些表达式示例：
      • 串联 IOC Feed 名称和 IOC 值。 您只能在 IOC Matches 探索中使用此示例。 concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • 返回第一个非空值。 顺序是主机名，然后是 IP 地址。如果这两个都不存在，则显示 _。您只能在实体图探索中使用此示例。 coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. 从格式菜单中选择一种格式。
   3. 在名称字段中指定自定义维度名称。此值将显示在所有字段标签页和数据表格中。
   4. 选择 + 添加说明，以便在说明字段中添加说明。
   5. 点击保存。

所有字段标签页的自定义字段部分会显示该字段。 与其他字段一样，您可以选择自定义维度，以将其添加到图块或从图块中移除。

创建自定义衡量指标

衡量指标是一个或多个维度（或数据的唯一属性）的数值表示形式，例如数量或平均值。通过衡量，您可以计算关键绩效指标 (KPI)，并使用不同的汇总属性来帮助用户分析数据。

借助自定义指标，您可以为字段定义特定的数值计算。 根据字段类型，只有某些类型的衡量指标可用。

如需向图块添加自定义指标，请完成以下步骤：

1. 打开现有信息中心以进行修改，或创建新信息中心。
2. 打开功能块以进行修改。
3. 在修改图块对话框的自定义字段部分，点击 + 添加，然后选择自定义衡量指标。系统会显示创建自定义指标对话框。

4. 在创建自定义衡量指标对话框中，执行以下操作：

   1. 从要测量的字段菜单中选择一个字段。
   2. 从衡量类型菜单中选择一种衡量类型。
   3. 在名称字段中指定一个名称。该名称会显示在字段选择器和数据表中。

   4. 在过滤条件标签页中，执行以下操作：

      1. 如需添加过滤条件，请从过滤条件名称菜单中选择一个字段。您可以使用 add_circle_outline 和 remove_circle_outline 过滤值按钮分别添加或移除过滤条件。
      2. 您可以选择自定义过滤条件旁边的箭头，使用可用于自定义过滤条件的任何 Looker 函数和运算符来创建自定义过滤条件表达式。Looker 表达式编辑器会建议字段名称，并显示您使用的任何函数的语法帮助。 以下是一些表达式示例：
         • 衡量 IOC Feed 日志的唯一值。 您只能在 IOC Matches 探索中使用此示例。 ${ioc_matches.feed_log_type} != ""
         • 衡量 IOC 天数分桶秒数：${ioc_matches.day_bucket_seconds}

   5. 在字段详细信息标签页中，执行以下操作：

      • 从格式菜单中选择一种格式。
      • 您也可以在说明字段中添加最多 255 个字符的说明，以便其他用户了解有关该自定义字段的更多详细信息。

   6. 点击保存。

所有字段标签页的自定义字段部分会显示该字段。 与其他字段一样，您可以选择要添加到功能块的自定义字段。

创建自定义表计算

您可以使用表计算创建临时指标。它们类似于 Google 表格等电子表格工具中的公式。

借助 Google SecOps，您可以选择向图块添加自定义计算。 这些自定义表格计算是使用 Looker 表达式构建的。 您只能使用探索中的字段创建表格计算。

完成以下步骤以创建表格计算并将其添加到图块：

1. 打开现有信息中心以进行修改，或创建新信息中心。
2. 打开功能块以进行修改。
3. 在修改功能块对话框的自定义字段部分中，依次点击 + 添加 > 表计算。系统会显示创建表计算对话框。
4. 在创建表格计算对话框中，执行以下操作：
   1. 从计算菜单中选择一种计算类型。系统默认显示自定义表达式的选项。
   2. 在相应字段中输入 Looker 表达式以定义计算。 以下是表格计算表达式的示例：
      • 以下表达式使用 diff hours 函数来显示两个时间戳之间的差值。您只能在规则检测探索中使用此示例。 diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • 以下表达式用于统计 IOC 值。您只能在 IOC 匹配项探索中使用此示例。 count(${ioc_matches.ioc_value})
   3. 从格式菜单中选择一种格式。
   4. 在名称字段中输入计算名称。
   5. 选择 + 添加说明，添加可选的说明，以便其他用户更清楚地了解表计算。
   6. 点击保存。

所有字段标签页会在自定义字段部分显示该字段。与其他字段一样，您可以选择自定义计算字段，以将其添加到板块或从板块中移除。

选择可视化图表类型

可视化图表以直观的方式显示数据，有助于您发现异常情况和趋势。 Google Security Operations SIEM 信息中心基于 Looker 技术，包括 Looker 可视化图表。

您可以在 Google Security Operations SIEM 信息中心内使用以下可视化图表类型：

• 柱形图选项
• 条形图选项
• 散点图选项
• 折线图选项
• 面积图选项
• 箱线图选项
• 瀑布图选项
• 饼图选项
• 多层环图选项
• 漏斗图表选项
• 时间表图选项
• 单值图表选项
• “单条记录”图表选项
• 表格图表选项
• 表格（旧版）图表选项
• 字词云图表选项
• Google 地图图表选项
• 地图图表选项
• 静态地图（区域）图表选项
• “静态地图（点）”图表选项

您可以使用修改功能块对话框中的运行按钮，显示使用所选字段和可视化图表类型的预览。调整和修改图块配置后，点击运行以刷新预览。

选择要用作过滤条件的字段

借助过滤条件，您可以限制可视化图表中显示的数据，以便仅显示感兴趣的项目。您可以使用“探索”数据模型中的字段创建过滤条件。

Google Security Operations SIEM 信息中心基于 Looker 技术，包括 Looker 过滤器。您可以在图块中创建以下类型的过滤条件：

• 标准过滤条件：使用预定义字段或自定义字段创建过滤条件。您可以使用修改功能块对话框的过滤条件部分定义这些过滤条件。
• 使用 Looker 表达式的自定义过滤条件：指定详细的业务逻辑，同时结合使用 AND 和 OR 逻辑，或使用 Looker 函数。在编辑图块对话框的过滤条件部分中，点击自定义表达式按钮。

某些预定义字段可用于过滤条件。只有当数据模型包含预定义的仅限过滤条件的字段时，这些字段才会显示在所有字段部分下。

如需向图块添加过滤条件，请完成以下步骤：

1. 打开现有信息中心以进行修改，或创建新信息中心。
2. 打开功能块以进行修改。
3. 在所有字段部分下，点击每个字段名称旁边的 filter_list 按字段过滤，选择要用作过滤条件的字段。

4. 在过滤条件部分，您可以执行以下任一操作：

   • 在过滤条件部分中，为列出的每个字段定义过滤条件。
   • 点击自定义表达式，然后在自定义过滤条件字段中添加值。

5. 点击运行以更新可视化图表预览。

解决特定用例的示例

以下各部分介绍了如何创建支持特定使用情形的可视化图表。

创建显示 IOC 类型的功能块

请按照以下步骤将功能块添加到信息中心，以监控 IOC 类型：

1. 打开现有信息中心以进行修改，或创建新信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 IOC Matches。
4. 输入功能块名称。
5. 选择以下维度：Ioc 类型和事件时间戳日期 > 日期。
6. 选择以下衡量指标：数量。
7. 在使用中标签页中，将指针悬停在日期事件时间戳日期字段上，然后选择 filter_list 按字段过滤。 系统随即会将该字段添加到过滤条件部分。
8. 在过滤条件部分，应用您要使用的过滤条件。
9. 在可视化图表部分中，选择柱状图图标。

10. 在数据部分中，执行以下操作：

    • 点击 IOC 匹配次数标题，即可按升序或降序对相应字段进行排序。
    • 将行数上限设置为某个值（例如 50），以限制可视化图表中显示的行数。

11. 配置好图块后，点击运行，即可使用 Google SecOps 数据预览可视化图表。预览会显示与事件时间戳日期匹配的 IOC 的 IOC 类型。

    下图展示了使用这些步骤创建的图表的示例。

    

12. 点击保存。

信息中心页面会显示新添加的图块。

创建包含枚举字段的板块

Google Security Operations SIEM 统一数据模型包含多个枚举字段，这些字段的值以文本和数字形式存储。与每个枚举字段关联的值可在 UDM 字段列表中找到。

在某些探索中，枚举字段文本值和数值存储在不同的字段中。例如，对于字段 metadata.event_type，其中一个枚举值为 FILE_CREATION，相关数字为 14001。

在探索中，以下字段存储 metadata.event_type 值：

• metadata.event_type 存储数值 14001。
• metadata.event_type_enum_name 存储文本值 FILE_CREATION。

向功能块添加枚举字段时，请添加存储文本值而非数字的字段。

按照以下说明向信息中心添加包含枚举字段的图块：

1. 打开现有信息中心以进行修改，或创建新信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入功能块名称。
5. 在查找字段中，搜索 UDM 字段，例如 metadata.event_type。
6. 从维度中，选择 metadata.event_type_enum_name 和 security_result.action_enum_name。
7. 从指标中选择数量。
8. 在使用中标签页中，将指针悬停在 security_result.action_enum_name 字段上，然后选择 filter_list按字段过滤。 这会在过滤条件部分中显示所选字段的过滤条件。
9. 在过滤条件部分，选择等于，然后选择 BLOCK 作为值。
10. 在可视化部分，选择表格图标。

11. 在数据部分中，执行以下操作：

    • 点击 UDM Count 标题可按升序或降序对字段进行排序。
    • 将行数上限设置为某个值（例如 50），以限制可视化图表中显示的行数。

12. 点击运行，使用 Google SecOps 数据预览可视化图表。 系统会显示预览，其中按数量显示 metadata.event_type 值，且 security_result.action_enum 名称为 BLOCK。

    下图展示了使用这些步骤创建的图表的示例。

    

13. 点击保存。

信息中心页面将显示新添加的图块。

在数据透视表中添加透视

您可以使用透视来显示多个维度上的事件计数。

以下图块显示了 metadata.event_type_enum_name 和 security_result_action_enum_name 字段中各个值的事件数。 在此示例中，透视应用于 security_result_action_enum_name 字段。

完成以下步骤即可创建包含透视的数据表：

1. 打开现有信息中心以进行修改，或创建新信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入功能块名称。
5. 选择维度字段 metadata.event_type_enum_name 和 security_result_action_enum_name。
6. 选择衡量字段 Count。
7. 在过滤条件部分，创建以下过滤条件：
   • UDM metadata_event_timestamp 是在过去 2 小时内。
   • UDM security_result.action_enum_name 不为 null。
8. 在使用中标签页下，检查是否显示以下字段。如果缺少任何一项，请重复上述步骤来配置功能块。
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 在数据部分中，点击 security_result.action_enum_name 列标题中的 settings 图标，然后选择透视。
10. 网格中的数据下方会显示一个新行。
11. 在可视化部分，选择表格图标。
12. 点击运行以显示可视化图表的预览。

下图显示了修改功能块对话框中的这些配置选项。

数据透视表在数据表格中的配置选项

使用包含日期字段的透视表创建时间图表

您可以使用包含日期字段的透视表来创建时间图表。以下图块显示了 security_result_action_enum_name 字段中各个值的每小时事件数。

在此示例中，透视应用于 security_result_action_enum_name 字段。此过滤条件会限制日期范围，并滤除 security_result_action_enum_name 值为 null 的数据。它使用预定义的 metadata.event_timestamp Hour 日期字段按小时对数据进行分区。

如需使用数据字段透视，请执行以下操作：

1. 打开现有信息中心以进行修改，或创建新信息中心。
2. 依次点击添加 > 可视化图表。
3. 在选择探索对话框中，选择 UDM 事件。
4. 输入功能块名称。
5. 选择维度字段：metadata.event_timestamp Hour 和 security_result_action_enum_name。
6. 选择衡量字段：Count。
7. 在过滤条件部分，创建以下过滤条件：
   • UDM metadata_event_timestamp 在范围内，然后选择开始日期和时间以及结束日期和时间。
   • UDM security_result.action_enum_name 不为 null。
8. 在使用中标签页下，检查是否显示以下字段。如果缺少任何一项，请重复上述步骤来配置功能块。
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 在数据部分中，点击 security_result.action_enum_name 列标题中的 settings 图标，然后选择透视。 数据网格中会显示一个新行。
10. 在可视化部分，选择表格图标。
11. 点击运行以显示可视化图表的预览。

下图显示了修改功能块对话框中的这些配置选项。

日期字段中透视的配置选项

创建包含详细时间戳指标的图表

您可以创建一个图表，其中包含每种日志类型的事件数量，以及最早 (min) 和最新 (max) 的事件时间戳。此图表使用 metadata.product_name 字段来标识日志类型。

如需创建包含 min 或 max 时间戳的图表，请按以下步骤操作：

1. 打开现有信息中心以进行修改，或创建新信息中心。

2. 依次点击添加 > 可视化图表。

3. 在选择探索对话框中，选择 UDM 事件。

4. 输入功能块名称。

5. 选择维度字段：metadata.product_name。

6. 选择衡量字段：Count、metadata.event_timestamp (min) Date、metadata.event_timestamp (max) Date。

7. 点击 Run 预览可视化图表。 系统会显示预览，其中以日期格式显示 metadata.event_timestamp (min) Date 和 metadata.event_timestamp (max) Date 值。

8. 点击保存。系统会显示信息中心页面，其中包含新添加的图表。该图表包含 metadata.product_name、UDM、metadata.event_timestamp（最小值）日期和 metadata.event_timestamp（最大值）日期列以及相应的值。

   需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。