הוספת תרשים להמחשה ללוח בקרה

כדי להוסיף תרשים או אמצעי ויזואליזציה אחר ללוח בקרה, משתמשים במשבצת ויזואליזציה. במשבצת של התצוגה החזותית מוצגים נתונים מהתצוגה המשויכת ב-LookML, שנקראת ניתוח, שבחרתם כשייצרתם את המשבצת. במסמך מתוארים הנושאים הבאים:

• איך יוצרים תרשימים ועזרים חזותיים אחרים באמצעות משבצת ההמחשה.
• איך ליצור תרשימים של נתונים שמתאימים לתרחישי שימוש ספציפיים.

סקירה כללית של התהליך

כדי ליצור תרשים במרכז בקרה, מבצעים את הפעולות הבאות:

1. מוסיפים את משבצת התצוגה החזותית ללוח הבקרה.
2. בוחרים את הניתוח. ניתוח הוא נקודת התחלה של המשבצת החדשה, והוא מייצג מודל נתונים ספציפי.
3. בוחרים את שדות הנתונים להצגה החזותית. שדות מוגדרים מראש מקובצים לאחד מהסוגים הבאים:
   • מאפיינים: תכונות של הנתונים שמתארות את הנתונים. לדוגמה: השטח במטרים רבועים וחומר הבנייה של מוזיאון הם מאפיינים שונים בתוך מערך נתונים של מוזיאון.
   • מדדים: ייצוג מספרי של מאפיין אחד או יותר, או מאפיין ייחודי של הנתונים, כמו ספירה או ממוצע.
   • שדות של סינון בלבד: שדות מוגדרים מראש שאפשר להשתמש בהם רק במסנן.
4. אפשר גם ליצור ולהוסיף שדות בהתאמה אישית למשבצת, כדי לתמוך בתרחיש שימוש ספציפי.
5. כדי להגדיר את התרשים, בוחרים באפשרויות הבאות:
   • הצגה חזותית: הצגת השדות שבחרתם באופן חזותי. לדוגמה, תרשים קו יכול להציג מגמות לאורך זמן.
   • מסננים: מגבילים את הוויזואליזציה כך שיוצגו רק נתונים שמעניינים אתכם. אפשר להשתמש בכל שדה ב'ניתוח נתונים' כדי ליצור מסנן.
6. מריצים את הוויזואליזציה כדי לראות תצוגה מקדימה של התוצאות.
7. שומרים את משבצת ההצגה החזותית.

בקטעים הבאים של המסמך הזה מופיע מידע מפורט יותר על הגדרת כל רכיב במשבצת של תרשים.

דוגמה: יצירת טבלת נתונים

בשלבים הבאים מוסבר בפירוט איך ליצור טבלת נתונים באמצעות משבצת של תרשים, ומוצגות אפשרויות ההגדרה בתיבת הדו-שיח עריכת המשבצת.

1. בקטע לוחות בקרה אישיים או לוחות בקרה משותפים, בוחרים לוח בקרה ולוחצים על more_vert פעולות בלוח הבקרה > עריכת לוח הבקרה.
2. לוחצים על הוספה > הצגה חזותית.
3. בוחרים מודל נתונים של ניתוח. מופיעה תיבת הדו-שיח Edit Tile (עריכת המשבצת).
4. מזינים שם ייחודי למשבצת.
5. בקטע כל השדות, בוחרים את השדות המוגדרים מראש: מאפיינים ומדדים. בדרך כלל צריך לבחור לפחות שני שדות כדי ליצור תצוגה חזותית. השדות שתבחרו יופיעו בקטע Data.
6. אפשר גם ליצור ולהוסיף שדות מותאמים אישית שנדרשים להצגה החזותית. הם יופיעו בקטע נתונים.
7. בקטע תצוגה חזותית, בוחרים באפשרות טבלה בתור סוג התצוגה החזותית. הנתונים שנבחרו יוצגו בטבלה.
8. בקטע Filters, מגדירים מסננים שמגבילים את הוויזואליזציה כך שיוצגו רק הנתונים שמעניינים אתכם. אפשר להשתמש בכל שדה ב-Explore כדי ליצור מסנן.
9. בקטע Data (נתונים), מבצעים את הפעולות הבאות:
   • כדי למיין את השדות בסדר עולה או יורד, לוחצים על חקר כותרת השדה.
   • מגדירים את Row Limit כדי להגביל את מספר השורות שיופיעו בתצוגה החזותית.
10. לוחצים על Run (הפעלה) כדי לראות תצוגה מקדימה של הוויזואליזציה באמצעות נתוני SIEM של Google Security Operations.
11. לוחצים על Save. לוח הבקרה מוצג עם האריח החדש שנוסף.

בתמונה הבאה אפשר לראות את המיקום בתיבת הדו-שיח Edit Tile שבה מבצעים את השלבים האלה.

עריכת תיבת הדו-שיח של המשבצת עם ההגדרה

בחירת מודל נתונים של Explore

‫SIEM של Google Security Operations מספק כמה מודלים של נתונים שבהם אפשר להשתמש כדי ליצור מרכז בקרה. כל מודל נתונים הוא Looker Explore שמגדיר קבוצת משנה של שדות UDM.

ניתוח הוא נקודת התחלה כשיוצרים תרשים חדש. הוא נועד לבחון מודל נתונים מסוים. בוחרים Explore של מודל נתונים אחד לכל משבצת של תרשים.

Google Security Operations SIEM מספק את מודל הנתונים הבא של Explore:

• תרשים ישויות
• התאמות ל-IOC
• מדד הטמעת נתונים עם נתוני הטמעה
• מדדי הטמעה
• נתונים סטטיסטיים על הטמעת נתונים
• זיהויים לפי כלל
• קבוצות כללים עם זיהויים
• אירועים ב-UDM
• UDM Events Aggregates

אפשר גם ליצור שדות בהתאמה אישית לשימוש רק במשבצת שבה הם נוצרו.

בחירת שדות להמחשה בתרשים

אחרי שבוחרים את האפשרות 'אפשרויות נוספות' עבור משבצת, השדות המוגדרים מראש של UDM מופיעים בכרטיסייה כל השדות בתיבת הדו-שיח אפשרויות נוספות.

אחרי שבוחרים שדות מהכרטיסייה כל השדות, הם מופיעים גם בכרטיסייה בשימוש וגם בקטע נתונים. בקטעי המשנה הבאים מתוארים סוגי השדות שאפשר לבחור כדי ליצור תרשים להצגה חזותית.

שדות מוגדרים מראש

כל ניתוח כולל קבוצה שונה של שדות UDM מוגדרים מראש. השדות המוגדרים מראש שזמינים בכרטיס ספציפיים למודל הנתונים שבוחרים בתיבת הדו-שיח בחירת ניתוח ב-Explore.

השדות המוגדרים מראש מקובצים לסוגים הבאים:

• מידות
• מדדים
• שדות סינון בלבד

הסמלים שליד כל שדה מציגים מידע נוסף ומציינים את האפשרויות הזמינות, כמו סינון לפי שדה, סיבוב נתונים, צבירה, חלוקה לקטגוריות או קיבוץ. לוחצים על סמל המידע כדי לראות את טקסט העזרה של השדה. הסמלים האלה מוצגים כשמעבירים את מצביע העכבר מעל שדה. מידע נוסף זמין במאמר מידע ופעולות שקשורים לשדות ספציפיים.

אתם יכולים להשתמש בשדות שהוגדרו מראש כדי ליצור מאפיינים מותאמים אישית, ליצור מדדים מותאמים אישית, ליצור חישובים בטבלה ולהחיל מסננים על המשבצת.

ניתוח יכול לכלול שדות שהוצאו משימוש ולא נתמכים יותר. שדות שהוצאו משימוש מזוהים לפי שם השדה שאחריו מופיע [D].

מודלים מסוימים של נתונים כוללים שדות של סינון בלבד שהוגדרו מראש, שאפשר להשתמש בהם רק במסנן. השדות לסינון בלבד במודל נתונים יכולים לכלול אחד או יותר מסוגי השדות הבאים:

• שדות UDM ספציפיים
• שדות מקובצים של UDM

חלק ממודלי הנתונים ב-Explore, כמו UDM Events, כוללים מדדים מפורטים יותר לשדות שמאחסנים חותמת זמן (לדוגמה, principal.artifact.first_seen_time ו-security_result.about.file.last_modification_time).

המדדים האלה מפרקים את חותמת הזמן למרווחים קטנים יותר, כמו שעה, יום, שבוע או שנה. המודל מספק גם מדד מינימלי ומקסימלי לכל עלייה. כך אפשר ליצור תרשימים מפורטים יותר שמציגים את ספירת האירועים במצטבר על סמך זמן ומרווחי זמן.

שדות מותאמים אישית

שדות בהתאמה אישית הם שדות שאתם יוצרים באמצעות השדות המוגדרים מראש שזמינים במודל הנתונים של המשבצת. אפשר להשתמש בשדות בהתאמה אישית רק במשבצת הזו.

אפשר ליצור שדות מותאמים אישית מהסוגים הבאים:

• מאפיינים מותאמים אישית
• מדדים מותאמים אישית
• ביטויים של טבלאות בהתאמה אישית

כדי לגשת לתפריט השדות המותאמים אישית בתיבת הדו-שיח עריכת המשבצת, לוחצים על + הוספה בקטע כל השדות > שדות מותאמים אישית. בתמונה הבאה מוצג מיקום התפריט.

יצירת מאפיין מותאם אישית

מאפיינים מותאמים אישית הם תכונות ייחודיות שעוזרות לתאר את הנתונים. לדוגמה, השרשור של השם הפרטי ושם המשפחה של משתמש יכול להיות מאפיין מותאם אישית.

כדי להוסיף מאפיינים מותאמים אישית למשבצת:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.
2. פותחים משבצת כדי לערוך אותה.
3. בקטע שדות בהתאמה אישית בתיבת הדו-שיח עריכת משבצת, לוחצים על + הוספה > מאפיין מותאם אישית. מופיעה תיבת הדו-שיח יצירת מאפיין מותאם אישית.
4. בתיבת הדו-שיח יצירת מאפיין מותאם אישית, מבצעים את הפעולות הבאות:
   1. בשדה ביטוי, מזינים ביטוי Looker שמגדיר את הערך באמצעות פונקציה ואופרטור של Looker. עורך הביטויים של Looker מציע שמות של שדות ומציג עזרה לגבי התחביר של כל פונקציה שבה משתמשים. דוגמאות לביטויים:
      • משרשר את שם פיד ה-IOC ואת ערך ה-IOC. אפשר להשתמש בדוגמה הזו רק בהתאמות ל-IOC בכלי הניתוחים. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • הפונקציה מחזירה את הערך הראשון שלא ריק. הסדר הוא שם המארח ואז כתובת ה-IP. אם אף אחת מהאפשרויות האלה לא קיימת, מוצג הסמל _. אפשר להשתמש בדוגמה הזו רק בכרטיסייה 'בסביבה' של תרשים הישות. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. בוחרים פורמט מהתפריט פורמט.
   3. מציינים את שם המאפיין המותאם אישית בשדה שם. הערך הזה יופיע בכרטיסייה כל השדות ובטבלת הנתונים.
   4. לוחצים על + הוספת תיאור כדי להוסיף תיאור בשדה תיאור.
   5. לוחצים על Save.

השדה מוצג בקטע שדות בהתאמה אישית בכרטיסייה כל השדות. כמו בשדות אחרים, אפשר לבחור מאפיין מותאם אישית כדי להוסיף אותו למשבצת או להסיר אותו ממנה.

יצירת מדדים מותאמים אישית

מדדים הם ייצוג מספרי של מאפיין אחד או יותר (או תכונות ייחודיות של הנתונים), כמו ספירה או ממוצע. מדדים מאפשרים לכם לחשב מדדי ביצועים מרכזיים (KPI) ולעזור למשתמשים לנתח נתונים באמצעות מאפיינים שונים במצטבר.

מדדים מותאמים אישית מאפשרים לכם להגדיר חישוב מספרי ספציפי לשדה. בהתאם לסוג השדה, זמינים רק סוגים מסוימים של מדדים.

כדי להוסיף מדד מותאם אישית למשבצת:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.
2. פותחים משבצת כדי לערוך אותה.
3. בקטע Custom Fields (שדות בהתאמה אישית) בתיבת הדו-שיח Edit Tile (עריכת המשבצת), לוחצים על + Add (הוספה) ובוחרים באפשרות Custom Measure (מדד בהתאמה אישית). מופיעה תיבת הדו-שיח יצירת מדד מותאם אישית.

4. בתיבת הדו-שיח יצירת מדד מותאם אישית, מבצעים את הפעולות הבאות:

   1. בוחרים שדה מהתפריט שדה למדידה.
   2. בוחרים סוג מדידה מהתפריט סוג מדידה.
   3. מציינים שם בשדה שם. השם מופיע בבורר השדות ובטבלת הנתונים.

   4. בכרטיסייה Filters (פילטרים), מבצעים את הפעולות הבאות:

      1. כדי להוסיף תנאי סינון, בוחרים שדה מהתפריט שם המסנן. אפשר להוסיף או להסיר תנאי סינון באמצעות הלחצנים add_circle_outline ו-remove_circle_outline ערך המסנן, בהתאמה.
      2. אפשר ללחוץ על החץ לצד מסנן מותאם אישית כדי ליצור ביטוי של מסנן מותאם אישית באמצעות כל פונקציה ואופרטור של Looker שאפשר להשתמש בהם במסננים מותאמים אישית. בכלי לעריכת ביטויים ב-Looker יש הצעות לשמות של שדות, ומוצגת עזרה לגבי התחביר של כל פונקציה שבה משתמשים. דוגמאות לביטויים:
         • מודדת את היומנים של פיד ה-IOC כדי לקבל ערכים ייחודיים. אפשר להשתמש בדוגמה הזו רק ב-Explore IOC Matches. ${ioc_matches.feed_log_type} != ""
         • המדד 'שניות בקטגוריית IOC': ${ioc_matches.day_bucket_seconds}

   5. בכרטיסייה Field details (פרטי השדה), מבצעים את הפעולות הבאות:

      • בוחרים פורמט מהתפריט פורמט.
      • אם רוצים, מוסיפים תיאור של עד 255 תווים בשדה Description כדי לספק למשתמשים אחרים פרטים נוספים על השדה המותאם אישית.

   6. לוחצים על Save.

השדה מוצג בקטע שדות בהתאמה אישית בכרטיסייה כל השדות. כמו בשדות אחרים, אפשר לבחור את השדה המותאם אישית שרוצים להוסיף למשבצת.

יצירת חישוב טבלה בהתאמה אישית

חישובים בטבלה מאפשרים ליצור מדדים אד-הוק. הן דומות לנוסחאות שנמצאות בכלי גיליונות אלקטרוניים, כמו Google Sheets.

ב-Google SecOps יש אפשרות להוסיף חישובים מותאמים אישית למשבצת. חישובי הטבלה המותאמים אישית האלה מבוססים על ביטויים של Looker. אפשר ליצור חישובים בטבלה רק באמצעות שדות בניתוח.

כדי ליצור חישוב טבלה ולהוסיף אותו למשבצת:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.
2. פותחים משבצת כדי לערוך אותה.
3. בקטע Custom Fields (שדות בהתאמה אישית) בתיבת הדו-שיח Edit Tile (עריכת המשבצת), לוחצים על + Add > Table Calculation (הוספה > חישוב טבלה). מופיעה תיבת הדו-שיח Create table calculation (יצירת חישוב בטבלה).
4. בתיבת הדו-שיח יצירת חישוב טבלה, מבצעים את הפעולות הבאות:
   1. בתפריט חישוב, בוחרים סוג חישוב. אפשרויות ביטוי מותאם אישית מוצגות כברירת מחדל.
   2. מזינים ביטוי של Looker בשדה כדי להגדיר חישוב. אלה דוגמאות לביטויים של חישובים בטבלה:
      • הביטוי הבא משתמש בפונקציה diff hours כדי להציג את ההפרש בין שתי חותמות זמן. אפשר להשתמש בדוגמה הזו רק ב-Explore Rule Detections. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • הביטוי הבא סופר את ערכי ה-IOC. אפשר להשתמש בדוגמה הזו רק בניתוח התאמות ל-IOC. count(${ioc_matches.ioc_value})
   3. בוחרים פורמט מהתפריט פורמט.
   4. מזינים שם לחישוב בשדה Name.
   5. לוחצים על + הוספת תיאור כדי להוסיף תיאור אופציונלי שיספק למשתמשים אחרים הקשר נוסף לגבי החישוב בטבלה.
   6. לוחצים על Save.

השדה מוצג בקטע שדות בהתאמה אישית בכרטיסייה כל השדות. כמו בשדות אחרים, אפשר לבחור את שדה החישוב המותאם אישית כדי להוסיף אותו למשבצת או להסיר אותו ממנה.

בחירת סוג התרשים של ההמחשה

ההמחשות מציגות את הנתונים באופן ויזואלי כדי לעזור לכם לזהות אנומליות ומגמות. מרכז הבקרה של Google Security Operations SIEM מבוסס על טכנולוגיית Looker, כולל המחשות של Looker.

אלה סוגי הוויזואליזציות שבהם אפשר להשתמש בלוחות בקרה של Google Security Operations SIEM:

• אפשרויות של תרשים עמודות אנכי
• אפשרויות של תרשים עמודות
• אפשרויות של תרשים פיזור
• אפשרויות של תרשים קו
• אפשרויות של תרשים שטח
• אפשרויות לתרשים Boxplot
• אפשרויות לתרשים מפל
• אפשרויות לתרשים עוגה
• אפשרויות של תרשים טבעות מרובות
• אפשרויות של תרשים משפך
• אפשרויות לתרשים ציר זמן
• אפשרויות של תרשים עם ערך יחיד
• אפשרויות של תרשים של רשומה יחידה
• אפשרויות של תרשים טבלה
• אפשרויות לתרשים טבלה (קודם)
• אפשרויות לתרשים ענן מילים
• אפשרויות לתרשימים במפות Google
• אפשרויות של תרשים מפה
• אפשרויות של תרשים מפה סטטית (אזורים)
• אפשרויות של תרשים מפה סטטית (נקודות)

באמצעות הלחצן הפעלה בתיבת הדו-שיח עריכת משבצת, אפשר להציג תצוגה מקדימה באמצעות השדות שנבחרו וסוג ההמחשה. אחרי שמבצעים שינויים בהגדרות של המשבצת, לוחצים על הרצה כדי לרענן את התצוגה המקדימה.

בחירת שדות לשימוש כמסננים

מסננים מאפשרים להגביל את הנתונים שמוצגים בתצוגה החזותית כך שיוצגו רק פריטים שמעניינים אתכם. אתם יוצרים מסננים באמצעות שדות במודל הנתונים של Explore.

מרכז הבקרה של Google Security Operations SIEM מבוסס על טכנולוגיית Looker, כולל מסנני Looker. אפשר ליצור את סוגי המסננים הבאים במשבצת:

• מסננים רגילים יוצרים מסננים באמצעות שדות מוגדרים מראש או שדות מותאמים אישית. מגדירים את המסננים האלה באמצעות הקטע Filters בתיבת הדו-שיח Edit Tile.
• מסננים בהתאמה אישית עם ביטויי Looker: אפשר לציין לוגיקה עסקית מפורטת, לשלב בין לוגיקת AND וOR או להשתמש בפונקציות של Looker. לוחצים על הלחצן ביטוי בהתאמה אישית בקטע מסננים בתיבת הדו-שיח עריכת משבצת.

שדות מסוימים שמוגדרים מראש זמינים לשימוש במסנן. השדות האלה מופיעים בקטע כל השדות רק אם מודל הנתונים כולל שדות שמוגדרים מראש לסינון בלבד.

כדי להוסיף מסנן למשבצת:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.
2. פותחים משבצת כדי לערוך אותה.
3. בקטע כל השדות, לוחצים על filter_list סינון לפי שדה לצד כל שם שדה כדי לבחור את השדות שרוצים להשתמש בהם כמסננים.

4. בקטע Filters, אפשר:

   • מגדירים את תנאי הסינון לכל שדה שמופיע בקטע Filters (מסננים).
   • לוחצים על ביטוי בהתאמה אישית ומוסיפים ערכים בשדה מסנן בהתאמה אישית.

5. לוחצים על הפעלה כדי לעדכן את התצוגה המקדימה של הוויזואליזציה.

דוגמאות לפתרון תרחישי שימוש ספציפיים

בקטעים הבאים מוסבר איך ליצור תרשימים שתומכים בתרחישי שימוש ספציפיים.

יצירת משבצת שמציגה סוגים של IOC

כדי להוסיף משבצת למרכז הבקרה כדי לעקוב אחרי סוגי IOC:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.
2. לוחצים על הוספה > הצגה חזותית.
3. בתיבת הדו-שיח Choose an Explore (בחירת ניתוח), בוחרים באפשרות IOC Matches (התאמות של אינדיקטורים לפריצה).
4. מזינים שם למשבצת.
5. בוחרים את המאפיינים הבאים: סוג ה-IOC וחותמת הזמן של האירוע > תאריך.
6. בוחרים את המדדים הבאים: ספירה.
7. בכרטיסייה In Use, מעבירים את מצביע העכבר מעל השדה Date Event Timestamp Date ואז בוחרים באפשרות filter_list Filter by field. השדה יתווסף לקטע Filters.
8. בקטע Filters (מסננים), מפעילים את תנאי הסינון שרוצים להשתמש בהם.
9. בקטע Visualization, לוחצים על סמל העמודה.

10. בקטע Data (נתונים), מבצעים את הפעולות הבאות:

    • לוחצים על הכותרת Ioc Matches Count כדי למיין את השדות בסדר עולה או יורד.
    • מגדירים את הגבלת השורות לערך מסוים, למשל 50, כדי להגביל את השורות שמופיעות בתצוגה החזותית.

11. אחרי שמגדירים את המשבצת, לוחצים על Run כדי לראות תצוגה מקדימה של הוויזואליזציה באמצעות נתונים מ-Google SecOps. התצוגה המקדימה מוצגת עם סוגי ה-IOC לפי התאמות של ה-IOC לתאריך חותמת הזמן של האירוע.

    בתמונה הבאה אפשר לראות דוגמה לתרשים שנוצר באמצעות השלבים האלה.

    

12. לוחצים על Save.

הדף לוחות בקרה יוצג עם האריח החדש שנוסף.

יצירת כרטיס עם שדות ממוספרים

מודל הנתונים המאוחד של Google Security Operations SIEM כולל כמה שדות ממוספרים עם ערכים שמאוחסנים כטקסט וכמספרים. הערכים שמשויכים לכל שדה enum מופיעים ברשימת השדות של UDM.

בחלק מהניתוחים, ערך הטקסט וערך המספר של שדה enum מאוחסנים בשדות נפרדים. לדוגמה, בשדה metadata.event_type, אחד מערכי ה-enum הוא FILE_CREATION והמספר שקשור אליו הוא 14001.

בניתוח ב-Explore, הערכים של metadata.event_type מאוחסנים בשדות הבאים:

• ‫metadata.event_type מאחסנת את הערך המספרי 14001.
• הפונקציה metadata.event_type_enum_name מאחסנת את ערך הטקסט FILE_CREATION.

כשמוסיפים שדה ממוספר למשבצת, מוסיפים את השדה שבו מאוחסן ערך הטקסט במקום המספר.

כדי להוסיף ללוח בקרה משבצת עם שדות ממוספרים:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.
2. לוחצים על הוספה > הצגה חזותית.
3. בתיבת הדו-שיח Choose an Explore (בחירת ניתוח), בוחרים באפשרות UDM Events (אירועים של UDM).
4. מזינים שם למשבצת.
5. בקטע Find a Field (חיפוש שדה), מחפשים שדה UDM, כמו metadata.event_type.
6. בקטע מאפיינים, בוחרים באפשרויות metadata.event_type_enum_name ו-security_result.action_enum_name.
7. בקטע מדידות, בוחרים באפשרות ספירה.
8. בכרטיסייה In Use, מציבים את הסמן מעל השדה security_result.action_enum_name ולוחצים על filter_listFilter by field. המסננים של השדה שנבחר מוצגים בקטע Filters.
9. בקטע Filters בוחרים באפשרות is equal to ואז בוחרים באפשרות BLOCK כערכים.
10. בקטע תצוגה חזותית, לוחצים על סמל הטבלה.

11. בקטע Data (נתונים), מבצעים את הפעולות הבאות:

    • לוחצים על הכותרת UDM Count כדי למיין את השדות בסדר עולה או יורד.
    • מגדירים את מגבלת השורות לערך מסוים (למשל 50) כדי להגביל את השורות שיופיעו בתצוגה החזותית.

12. לוחצים על Run כדי לראות תצוגה מקדימה של הוויזואליזציה באמצעות נתונים מ-Google SecOps. בתצוגה המקדימה מוצגים הערכים של metadata.event_type לפי ספירה כאשר השם של security_result.action_enum הוא BLOCK.

    בתמונה הבאה אפשר לראות דוגמה לתרשים שנוצר באמצעות השלבים האלה.

    

13. לוחצים על Save.

הדף Dashboards מוצג עם האריח החדש שנוסף.

שימוש בציר בטבלת נתונים

אפשר להשתמש בציר כדי להציג את ספירת האירועים בכמה מאפיינים.

בכרטיס הבא מוצגים מספרי האירועים לפי הערכים בשדות metadata.event_type_enum_name ו-security_result_action_enum_name. בדוגמה הזו, נעשה ציר על השדה security_result_action_enum_name.

כדי ליצור את טבלת הנתונים הזו שמכילה ציר:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.
2. לוחצים על הוספה > הצגה חזותית.
3. בתיבת הדו-שיח Choose an Explore (בחירת ניתוח), בוחרים באפשרות UDM Events (אירועים של UDM).
4. מזינים שם למשבצת.
5. בוחרים את שדות המאפיין metadata.event_type_enum_name ו-security_result_action_enum_name.
6. בוחרים בשדה Measure (מדד) Count.
7. בקטע Filter, יוצרים את המסננים הבאים:
   • UDM metadata_event_timestamp בשעתיים האחרונות.
   • ‫UDM security_result.action_enum_name is not null.
8. בכרטיסייה In Use, מוודאים שהשדות הבאים מוצגים. אם חסר אחד מהם, חוזרים על השלבים הקודמים כדי להגדיר את המשבצת.
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. בקטע נתונים, לוחצים על הסמל settings בכותרת של העמודה security_result.action_enum_name ואז בוחרים באפשרות Pivot (ציר).
10. שורה חדשה מופיעה ברשת בקטע נתונים.
11. בקטע תצוגה חזותית, לוחצים על סמל הטבלה.
12. לוחצים על הפעלה כדי להציג תצוגה מקדימה של הוויזואליזציה.

בתמונה הבאה מוצגות אפשרויות ההגדרה האלה בתיבת הדו-שיח Edit Tile.

אפשרויות ההגדרה של טבלת צירים בטבלת נתונים

שימוש בטבלת ציר עם שדות תאריך ליצירת תרשים זמן

אפשר להשתמש בציר עם שדות תאריך כדי ליצור תרשים זמן. בכרטיס הבא מוצגת ספירת האירועים לפי שעה עבור הערכים בשדות security_result_action_enum_name.

בדוגמה הזו, מוחל ציר על השדה security_result_action_enum_name. המסנן מגביל את טווח התאריכים ומסנן נתונים שבהם הערך הוא null.security_result_action_enum_name היא משתמשת בשדה התאריך metadata.event_timestamp Hour שהוגדר מראש כדי לחלק את הנתונים למחיצות לפי שעה.

כדי להשתמש בטבלת ציר עם שדות נתונים:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.
2. לוחצים על הוספה > הצגה חזותית.
3. בתיבת הדו-שיח Choose an Explore (בחירת ניתוח), בוחרים באפשרות UDM Events (אירועים של UDM).
4. מזינים שם למשבצת.
5. בוחרים את השדות מאפיין: metadata.event_timestamp Hour ו-security_result_action_enum_name.
6. בוחרים בשדה מדד: Count.
7. בקטע Filter, יוצרים את המסננים הבאים:
   • UDM metadata_event_timestamp נמצא בטווח, ואז בוחרים תאריך ושעה להתחלה ולסיום.
   • ‫UDM security_result.action_enum_name is not null.
8. בכרטיסייה In Use, מוודאים שהשדות הבאים מוצגים. אם חסר אחד מהם, חוזרים על השלבים הקודמים כדי להגדיר את המשבצת.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. בקטע נתונים, לוחצים על הסמל settings בכותרת של העמודה security_result.action_enum_name ואז בוחרים באפשרות Pivot. שורה חדשה מופיעה ברשת הנתונים.
10. בקטע תצוגה חזותית, לוחצים על סמל הטבלה.
11. לוחצים על הפעלה כדי להציג תצוגה מקדימה של הוויזואליזציה.

בתמונה הבאה מוצגות אפשרויות ההגדרה האלה בתיבת הדו-שיח Edit Tile.

אפשרויות ההגדרה של ציר בשדה תאריך

יצירת תרשים עם מדדים מפורטים של חותמות זמן

אפשר ליצור תרשים עם ספירת האירועים לכל סוג יומן, יחד עם חותמת הזמן של האירוע הכי ישן (min) והכי חדש (max). בתרשים הזה נעשה שימוש בשדה metadata.product_name כדי לזהות את סוג היומן.

כדי ליצור תרשים עם חותמות זמן של min או max:

1. פותחים מרכז בקרה קיים כדי לערוך אותו או יוצרים מרכז בקרה חדש.

2. לוחצים על הוספה > הצגה חזותית.

3. בתיבת הדו-שיח Choose an Explore (בחירת ניתוח), בוחרים באפשרות UDM Events (אירועים של UDM).

4. מזינים שם למשבצת.

5. בוחרים בשדה מאפיין: metadata.product_name.

6. בוחרים את השדות Measure: ‏ Count, ‏ metadata.event_timestamp (min) Date,‏ metadata.event_timestamp (max) Date.

7. לוחצים על הפעלה כדי לראות תצוגה מקדימה של הוויזואליזציה. התצוגה המקדימה מוצגת עם הערכים של metadata.event_timestamp (min) Date ושל metadata.event_timestamp (max) Date בפורמט התאריך.

8. לוחצים על Save. הדף לוחות בקרה מוצג עם התרשים החדש שנוסף. התרשים כולל את העמודות metadata.product_name,‏ UDM,‏ metadata.event_timestamp (min) Date ו-metadata.event_timestamp (max) Date עם ערכים.

   הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.