向信息中心添加图表可视化图表
如需向信息中心添加图表或其他可视化图表,请使用可视化图块。可视化图块会显示您在创建图块时选择的关联 LookML 视图(称为“探索”)中的数据。本文档介绍了以下内容:
- 如何使用可视化图块创建图表和其他可视化图表。
- 如何创建可满足特定用例的数据可视化图表。
流程概览
概括来讲,您需要执行以下操作才能在信息中心内创建可视化图表:
- 向信息中心添加可视化图块。
- 选择“探索”。探索是新功能块的起点,表示特定的数据模型。
- 选择可视化图表的数据字段。预定义字段分为以下类型之一:
- 维度:用于描述数据的数据属性。示例:博物馆的数据集中的建筑面积和建筑材料是不同的维度。
- 测量:一个或多个维度或数据的唯一属性(例如计数或平均值)的数值表示法。
- 仅限过滤条件的字段:只能在过滤条件中使用的预定义字段。
- (可选)为功能块创建并添加自定义字段,以支持特定用例。
- 选择以下内容以配置功能块:
- 运行可视化结果以预览结果。
- 保存可视化图块。
本文档的以下部分详细介绍了如何配置可视化图块中的每个组件。
示例:创建数据表
以下步骤详细介绍了如何使用可视化图块创建数据表,并在修改图块对话框中显示配置选项。
- 在个人信息中心或共享信息中心中,选择一个信息中心,然后点击 信息中心操作 > 修改信息中心。
- 依次点击添加 > 可视化图表。
- 选择一个探索数据模型。系统随即会显示修改功能块对话框。
- 输入一个具有唯一性的功能块名称。
- 在所有字段中,选择预定义字段:维度和测量。 您通常需要选择至少两个字段才能创建可视化图表。您选择的字段会显示在数据部分中。
- (可选)创建并添加可视化图表所需的所有自定义字段。这些数据将显示在数据部分中。
- 在可视化部分,选择表格作为可视化图表类型。 可视化图表会在表格中显示所选的数据字段。
- 在过滤条件部分,定义过滤条件,以限制可视化图表仅显示感兴趣的数据。“探索”中的任何字段都可以用来创建过滤条件。
- 在数据部分中,执行以下操作:
- 点击“探索”字段标题,按升序或降序排列字段。
- 设置行数上限,以限制可视化图表中显示的行数。
- 点击运行,使用 Google Security Operations SIEM 数据预览可视化结果。
- 点击保存。系统会显示信息中心,其中包含新添加的功能块。
下图标识了修改功能块对话框中执行这些步骤的位置。
包含配置的功能块修改对话框
选择探索数据模型
Google Security Operations SIEM 提供了多个数据模型,可供您用于构建信息中心。每个数据模型都是一个 Looker 探索,用于定义 UDM 字段的子集。
在创建新的可视化图块时,探索是起点。它旨在探索特定的数据模型。您可以为每个可视化图块选择一个数据模型“探索”。
Google Security Operations SIEM 提供以下数据模型探索:
- 实体图
- IOC 匹配项
- 包含注入统计信息的“提取”指标
- 提取指标
- 提取统计信息
- 规则检测
- 包含检测的规则集
- UDM 事件
- UDM 事件汇总
您可以选择创建仅可与创建它们的功能块搭配使用的自定义字段。
为图表可视化结果选择字段
为功能块选择“探索”后,预定义的 UDM 字段会显示在探索对话框的所有字段标签页下。
从所有字段标签页中选择字段后,这些字段会同时显示在正在使用标签页和数据部分中。以下子部分介绍了您可以选择用于创建图表可视化的字段类型。
预定义字段
每个“探索”都包含一组不同的预定义 UDM 字段。功能块中提供的预定义字段取决于您从选择探索对话框中选择的数据模型。
预定义字段分为以下几类:
- 维度
- 测量
- 仅限过滤条件的字段
每个字段旁边的图标会显示更多信息,并指示可用选项,例如按字段过滤、透视数据、汇总、分箱或分组。点击信息图标可查看相应字段的帮助文本。当您将光标悬停在某个字段上时,就会看到这些图标。如需了解详情,请参阅特定于字段的信息和操作。
您可以使用预定义字段创建自定义维度、创建自定义测量值、创建表格计算,以及对功能块应用过滤条件。
探索可能包含不再受支持的已废弃字段。已废弃的字段由字段名称后跟 [D] 标识。
某些数据模型包含预定义的仅限过滤条件的字段,只能在过滤条件中使用。数据模型中的仅限过滤条件的字段可以包含以下一个或多个字段类型:
某些探索数据模型(例如 UDM 事件)针对存储时间戳的字段(例如 principal.artifact.first_seen_time 和 security_result.about.file.last_modification_time)提供了更精细的衡量指标。
这些测量参数会将时间戳拆分为更精细的时间单位,例如小时、天、周或年。该模型还会为每个增量提供最小和最大测量值。这样,您就可以创建更详细的图表,以便根据时间和时间增量汇总事件数。
自定义字段
自定义字段是指您使用功能块数据模型中提供的预定义字段创建的字段。自定义字段只能在该功能块中使用。
您可以创建以下任意类型的自定义字段:
如需在修改功能块对话框中访问自定义字段菜单,请依次点击所有字段 > 自定义字段部分下的 + 添加。下图显示了菜单位置。
创建自定义维度
自定义维度是可帮助您描述数据的特有属性。例如,用户名字和姓氏的串联可以作为自定义维度。
如需向功能块添加自定义维度,请完成以下步骤:
- 打开要修改的现有信息中心或创建新信息中心。
- 打开要修改的功能块。
- 在修改图块对话框的自定义字段部分中,依次点击 + 添加 > 自定义维度。系统随即会显示创建自定义维度对话框。
- 在创建自定义维度对话框中,执行以下操作:
- 在表达式字段中,输入使用任何 Looker 函数和运算符定义值的 Looker 表达式。Looker 表达式编辑器会建议字段名称,并显示您使用的任何函数的语法帮助。以下是示例表达式:
- 串联 IOC Feed 名称和 IOC 值。
您只能在 IOC 比赛探索中使用此示例。
concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} ) - 返回第一个非空值。
顺序为主机名,然后是 IP 地址。如果这两种情况都没有,则显示
_。您只能在实体图“探索”部分中使用此示例。coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
- 串联 IOC Feed 名称和 IOC 值。
您只能在 IOC 比赛探索中使用此示例。
- 从格式菜单中选择一种格式。
- 在“名称”字段中指定自定义维度名称。此值将显示在所有字段标签页和数据表格中。
- 选择 + 添加说明,在说明字段中添加说明。
- 点击保存。
- 在表达式字段中,输入使用任何 Looker 函数和运算符定义值的 Looker 表达式。Looker 表达式编辑器会建议字段名称,并显示您使用的任何函数的语法帮助。以下是示例表达式:
所有字段标签页会在自定义字段部分中显示该字段。与其他字段一样,您可以选择自定义维度,将其添加或移除到功能块中。
创建自定义测量
测量值是对一个或多个维度(或数据的唯一属性)的数字表示,例如计数或平均值。借助测量,您可以计算关键绩效指标 (KPI),并帮助用户使用不同的汇总属性分析数据。
借助自定义衡量标准,您可以为字段定义特定的数值计算。根据字段类型,只有特定类型的测量值可用。
如需向功能块添加自定义衡量标准,请完成以下步骤:
- 打开要修改的现有信息中心或创建新信息中心。
- 打开要修改的功能块。
- 在修改功能块对话框的自定义字段部分中,点击 + 添加,然后选择自定义测量。系统随即会显示创建自定义衡量标准对话框。
在创建自定义衡量标准对话框中,执行以下操作:
- 从要衡量的字段菜单中选择一个字段。
- 从测量类型菜单中选择一种测量类型。
- 在 Name 字段中指定一个名称。该名称会显示在字段选择器和数据表中。
在过滤条件标签页中,执行以下操作:
- 如需添加过滤条件,请从过滤条件名称菜单中选择一个字段。您可以分别使用 和 Filter value(过滤值)按钮添加或移除过滤条件。
- 您可以选择自定义过滤条件旁边的箭头,使用可在自定义过滤条件中使用的任何 Looker 函数和运算符来创建自定义过滤条件表达式。Looker 表达式编辑器会建议字段名称,并显示您使用的任何函数的语法帮助。以下是示例表达式:
- 衡量 IOC Feed 日志中唯一值的数量。您只能在 IOC 比赛探索中使用此示例。
${ioc_matches.feed_log_type} != "" - 衡量 IOC 日分桶秒数:
${ioc_matches.day_bucket_seconds}
- 衡量 IOC Feed 日志中唯一值的数量。您只能在 IOC 比赛探索中使用此示例。
在字段详情标签页中,执行以下操作:
- 从格式菜单中选择一种格式。
- (可选)在说明字段中添加最多 255 个字符的说明,以便向其他用户提供有关自定义字段的更多详细信息。
点击保存。
所有字段标签页会在自定义字段部分中显示该字段。与其他字段一样,您可以选择要添加到功能块的自定义字段。
创建自定义表计算
借助表计算,您可以创建临时指标。这类函数类似于 Google 表格等电子表格工具中的公式。
借助 Google 安全运营中心,您可以选择向功能块添加自定义计算。这些自定义表格计算是使用 Looker 表达式构建的。您只能使用探索中的字段创建表格计算。
如需创建表格计算并将其添加到功能块,请完成以下步骤:
- 打开要修改的现有信息中心或创建新信息中心。
- 打开要修改的功能块。
- 在修改图块对话框的自定义字段部分,依次点击 + 添加 > 表格计算。系统随即会显示创建表计算对话框。
- 在创建表格计算对话框中,执行以下操作:
- 从计算菜单中选择计算类型。系统会默认显示自定义表达式的选项。
- 在该字段中输入 Looker 表达式以定义计算。以下是表格计算表达式示例:
- 以下表达式使用
diff hours函数显示两个时间戳之间的差值。您只能在规则检测探索中使用此示例。diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} ) - 以下表达式用于统计 IOC 值。您只能在 IOC 匹配探索中使用此示例。
count(${ioc_matches.ioc_value})
- 以下表达式使用
- 从格式菜单中选择一种格式。
- 在名称字段中输入计算名称。
- 选择 + 添加说明以添加可选说明,为其他用户提供有关表格计算的更多背景信息。
- 点击保存。
所有字段标签页会在自定义字段部分中显示该字段。与其他字段一样,您可以选择自定义计算字段,将其添加或移除到功能块中。
选择可视化图表类型
可视化图表以直观的方式显示数据,有助于您发现异常和趋势。Google Security Operations SIEM 信息中心基于 Looker 技术(包括 Looker 可视化)构建而成。
您可以在 Google 安全运营 SIEM 信息中心中使用以下可视化图表类型:
- 柱形图选项
- 条形图选项
- 散点图选项
- 折线图选项
- 面积图选项
- 箱线图选项
- 瀑布图选项
- 饼图选项
- 多层环图选项
- 漏斗图表选项
- 时间表图选项
- 单值图表选项
- “单个记录”图表选项
- 表格图表选项
- 表格(旧版)图表选项
- 字词云图表选项
- Google 地图图表选项
- 地图图表选项
- “静态地图(区域)”图表选项
- “静态地图(点)”图表选项
您可以使用修改图块对话框中的运行按钮,使用所选字段和可视化图表类型显示预览。调整和修改功能块配置后,点击 Run 刷新预览。
选择要用作过滤条件的字段
借助过滤条件,您可以限制可视化图表中显示的数据,以便仅显示感兴趣的内容。您可以使用“探索”数据模型中的字段创建过滤条件。
Google Security Operations SIEM 信息中心基于 Looker 技术(包括 Looker 过滤条件)。您可以在功能块中创建以下类型的过滤条件:
- 标准过滤条件使用预定义字段或自定义字段创建过滤条件。您可以使用修改功能块对话框的过滤条件部分来定义这些过滤条件。
- 使用 Looker 表达式的自定义过滤条件:指定详细的业务逻辑、组合使用
AND和OR逻辑,或使用 Looker 函数。点击修改功能块对话框的过滤条件部分中的自定义表达式按钮。
某些预定义字段可用于过滤条件。只有当数据模型包含预定义的仅限过滤条件的字段时,这些字段才会显示在所有字段部分下。
如需向功能块添加过滤条件,请完成以下步骤:
- 打开要修改的现有信息中心或创建新信息中心。
- 打开要修改的功能块。
- 在所有字段部分下,点击每个字段名称旁边的 按字段过滤,选择要用作过滤条件的字段。
在过滤条件部分,您可以执行以下操作:
- 为过滤条件部分中列出的每个字段定义过滤条件。
- 点击自定义表达式,然后在自定义过滤条件字段中添加值。
点击 Run 更新可视化预览。
用于解决特定用例的示例
以下部分介绍了如何创建支持特定用例的可视化图表。
创建用于显示 IOC 类型的功能块
请按照以下步骤将功能块添加到信息中心,以监控 IOC 类型:
- 打开要修改的现有信息中心或创建新信息中心。
- 依次点击添加 > 可视化图表。
- 在选择探索对话框中,选择 IOC 匹配。
- 输入功能块名称。
- 选择以下维度:Ioc 类型和事件时间戳日期 > 日期。
- 选择以下测量:计数。
- 在正在使用标签页中,将光标悬停在 Date Event Timestamp Date 字段上,然后选择 按字段过滤。这会将该字段添加到过滤条件部分。
- 在过滤条件部分,应用您要使用的过滤条件。
- 在可视化部分,选择列图标。
在数据部分中,执行以下操作:
- 点击 Ioc Matches Count 标题,按升序或降序对字段进行排序。
- 将行数上限设置为一个值(例如 50),以限制可视化图表中显示的行数。
配置功能块后,点击运行以使用 Google Security Operations 数据预览可视化结果。预览会显示与事件时间戳日期匹配的 IOC 的IOC 类型。
下图显示了使用这些步骤创建的图表示例。
点击保存。
信息中心页面随即会显示新添加的功能块。
创建包含枚举字段的功能块
Google Security Operations SIEM 统一数据模型包含多个枚举字段,其值既以文本形式存储,也以数字形式存储。与每个枚举字段关联的值可在 UDM 字段列表中找到。
在某些探索中,枚举字段文本值和数字值存储在单独的字段中。例如,对于字段 metadata.event_type,枚举值之一为 FILE_CREATION,关联的编号为 14001。
在探索中,以下字段会存储 metadata.event_type 值:
metadata.event_type存储数值 14001。metadata.event_type_enum_name存储文本值FILE_CREATION。
向功能块添加枚举字段时,请添加存储文本值(而非数字)的字段。
请按照以下说明向信息中心添加包含枚举字段的功能块:
- 打开要修改的现有信息中心或创建新信息中心。
- 依次点击添加 > 可视化图表。
- 在选择探索对话框中,选择 UDM 事件。
- 输入功能块名称。
- 在查找字段中,搜索 UDM 字段,例如
metadata.event_type。 - 在维度中,选择 metadata.event_type_enum_name 和 security_result.action_enum_name。
- 从 Measures(测量)中,选择 Count(计数)。
- 在正在使用标签页中,将指针悬停在 security_result.action_enum_name 字段上,然后选择 按字段过滤。这会在过滤条件部分中显示所选字段的过滤条件。
- 在过滤条件部分,选择等于,然后选择 BLOCK 作为值。
- 在可视化部分,选择表格图标。
在数据部分中,执行以下操作:
- 点击 UDM 计数标题,按升序或降序对字段进行排序。
- 将行数上限设置为一个值(例如 50),以限制可视化中显示的行数。
点击运行,使用 Google Security Operations 数据预览可视化结果。系统会显示预览,其中按计数显示 metadata.event_type 值,其中 security_result.action_enum 名称为 BLOCK。
下图显示了使用这些步骤创建的图表示例。
点击保存。
系统会显示信息中心页面,其中包含新添加的功能块。
在数据表中使用数据透视表
您可以使用数据透视来显示多个维度的事件数。
以下功能块会显示 metadata.event_type_enum_name 和 security_result_action_enum_name 字段中各个值的事件数。在此示例中,对 security_result_action_enum_name 字段应用了数据透视。
请完成以下步骤,创建包含数据透视表的数据表:
- 打开要修改的现有信息中心或创建新信息中心。
- 依次点击添加 > 可视化图表。
- 在选择探索对话框中,选择 UDM 事件。
- 输入功能块名称。
- 选择维度字段
metadata.event_type_enum_name和security_result_action_enum_name。 - 选择测量字段
Count。 - 在过滤条件部分,创建以下过滤条件:
UDM metadata_event_timestamp是过去 2 小时内。UDM security_result.action_enum_name不为 null。
- 在正在使用标签页下,检查是否显示了以下字段。如果缺少任何信息,请重复前面的步骤来配置功能块。
metadata.event_timestampmetadata.event_type_enum_name-metadatasecurity_result_action_enum_name-security_resultCount
- 在数据部分,点击
security_result.action_enum_name列标题中的 图标,然后选择数据透视。 - 网格中的“数据”下方会显示一个新行。
- 在可视化部分,选择表格图标。
- 点击 Run 以显示可视化图表的预览。
下图显示了修改功能块对话框中的这些配置选项。
数据表格中数据透视表的配置选项
使用包含日期字段的 pivot 表格创建时间图
您可以使用包含日期字段的数据透视表来创建时间图表。以下功能块会显示 security_result_action_enum_name 字段中值的每小时事件数。
在此示例中,对 security_result_action_enum_name 字段应用了数据透视。该过滤条件会限制日期范围,并滤除 security_result_action_enum_name 值为 null 的数据。它使用按小时对数据进行分区的预定义 metadata.event_timestamp Hour 日期字段。
如需将数据透视表与数据字段搭配使用,请执行以下操作:
- 打开要修改的现有信息中心或创建新信息中心。
- 依次点击添加 > 可视化图表。
- 在选择探索对话框中,选择 UDM 事件。
- 输入功能块名称。
- 选择维度字段:
metadata.event_timestamp Hour和security_result_action_enum_name。 - 选择测量字段:
Count。 - 在过滤条件部分,创建以下过滤条件:
UDM metadata_event_timestamp在范围内,然后选择开始日期和结束日期及时间。UDM security_result.action_enum_name不为 null。
- 在正在使用标签页下,检查是否显示了以下字段。如果缺少任何信息,请重复前面的步骤来配置功能块。
metadata.event_timestampmetadata.event_timestamp Hour-metadatasecurity_result_action_enum_name-security_resultCount
- 在数据部分,点击
security_result.action_enum_name列标题中的 图标,然后选择数据透视。数据网格中会显示一个新行。 - 在可视化部分,选择表格图标。
- 点击 Run 以显示可视化图表的预览。
下图显示了修改功能块对话框中的这些配置选项。
日期字段中数据透视表的配置选项
创建包含详细时间戳测量的图表
您可以创建一个图表,其中包含每种日志类型的事件数以及最早 (min) 和最近 (max) 的事件时间戳。此图表使用 metadata.product_name 字段来标识日志类型。
如需创建包含 min 或 max 时间戳的图表,请按以下步骤操作:
依次点击添加 > 可视化图表。
在选择探索对话框中,选择 UDM 事件。
输入功能块名称。
选择维度字段:
metadata.product_name。选择测量字段:
Count、metadata.event_timestamp (min) Date、metadata.event_timestamp (max) Date。点击 Run 预览可视化图表。 系统会显示预览,其中以日期格式显示
metadata.event_timestamp (min) Date和metadata.event_timestamp (max) Date值。点击保存。系统会显示信息中心页面,其中包含新添加的图表。该图表包含包含值的 metadata.product_name、UDM、metadata.event_timestamp (min) Date 和 metadata.event_timestamp (max) Date 列。