Benutzerdefiniertes Widget erstellen

Erstellen Sie ein benutzerdefiniertes Widget aus den Suchergebnissen des XDR-Daten-Explorers

1. Navigieren Sie zu AGENTIC SIEM AND XDR → XDR Data Explorer.
2. Wählen Sie Ihre gewünschten Dropdown-Optionen (Datenquelle / Prozessor, Protokolltyp und Zeitraum), geben Sie eine Zeichenfolge in das Suchfeld ein und klicken Sie auf Run Query, um Ergebnisse zu erhalten.
3. Klicken Sie auf das Custom Widget-Symbol (), um den Editor für benutzerdefinierte Widgets zu öffnen.
4. Erweitern Sie den Abschnitt Abfrage, um Ihre Suchparameter zu überprüfen:
   • Data source / processor: Listet alle ausgewählten Produkte, gruppiert nach Ebene (Cloud, E-Mail, Endpunkt, Netzwerk, Identität, Sonstige, Drittanbieter-Protokolle)
   • Zeitraum: Der Zeitraum für die Abfrage
   • LogType: Art der Protokolle (Aktivität oder Erkennung)
   • Abfrage: Suchanfragezeichenfolge
5. Konfigurieren Sie die Data Settings:
   1. Unter Aggregation geben Sie an, wie Ihre Metrik berechnet werden soll:

      Feld	Beschreibung	Erforderlich
      Funktion	Die anzuwendende Aggregationsfunktion: Anzahl: Zählen Sie die Gesamtanzahl der Ereignisse, die der Abfrage entsprechen Sum: Berechnen Sie die Gesamtsumme der Werte in einem numerischen Feld Average: Berechnen Sie den Mittelwert (Durchschnitt) eines numerischen Feldes Min: Finde den kleinsten Wert in einem numerischen Feld Max: Den größten Wert in einem numerischen Feld finden Distinct Count: Zählen Sie die Anzahl der eindeutigen Werte in einem Feld	Ja
      Feld	Das numerische Feld zur Aggregation (nur für die Funktionen Summe, Durchschnitt, Min, Max, Distinkte Anzahl). Beginnen Sie mit der Eingabe, um verfügbare Felder zu durchsuchen.	Ja (außer für Count)
      Metric Name	Optionaler Alias für die Metrik. Muss mit einem Buchstaben oder Unterstrich beginnen und darf nur alphanumerische Zeichen und Unterstriche enthalten. Wenn nicht angegeben, wird ein Standardname generiert.	No

   2. Unter Group By geben Sie an, wie Sie Ihre Ergebnisse gruppieren möchten:

      Feld	Beschreibung	Erforderlich
      Methode	Die Gruppierungsmethode: Feld: Nach einem bestimmten Feldwert gruppieren Time Binning: Nach Zeitintervallen gruppieren Time Binning and Field: Nach Zeitintervallen und Feldwerten gruppieren	Ja
      Zeitintervall	Das Zeitintervall für die Gruppierung (nur für Zeit-Binning-Methoden): Minute: Nach Minute gruppieren Stunde: Nach Stunde gruppieren Tag: Nach Tag gruppieren	Ja (für Zeitbündelung)
      Feld	Das Feld zum Gruppieren (nur für feldbasierte Methoden). Beginnen Sie mit der Eingabe, um verfügbare Felder zu durchsuchen.	Ja (für feldbasierte Methoden)

   3. Unter Result Settings konfigurieren Sie, wie die Ergebnisse angezeigt werden sollen:

      Feld	Beschreibung	Erforderlich
      Typ	Anzahl der anzuzeigenden Top-Ergebnisse: Top 5: Zeige die Top 5 Ergebnisse 10 häufigste: Zeige die Top 10 Ergebnisse Top 20: Zeige die Top 20 Ergebnisse 50 häufigste: Zeige die Top 50 Ergebnisse Top 100: Zeige die Top 100 Ergebnisse Top 500: Zeige die Top 500 Ergebnisse Top 1000: Zeige die Top 1000 Ergebnisse Alle Datensätze: Alle Ergebnisse anzeigen (automatisch für zeitbasierte Gruppierung)	Ja
      Sort By	Sortierreihenfolge für Ergebnisse: Für Zeit-Binning-Methoden: Oldest First: Nach Zeit aufsteigend sortieren Newest First: Nach Zeit absteigend sortieren Für Feldmethode: {Function} Highest First: Nach Metrikwert absteigend sortieren (z. B. „Anzahl absteigend“) {Function} Lowest First: Nach Metrikwert aufsteigend sortieren (z. B. "Anzahl aufsteigend")	Ja

   4. Unter Zeitraum wählen Sie aus, wann das Widget Daten abfragen soll:

      Feld	Beschreibung	Erforderlich
      Bereich	Der Zeitraum für Widget-Daten: Use Query Time Range: Verwenden Sie den Zeitraum aus Ihrer ursprünglichen Suche (maximal 7 Tage) Last 10 Minutes: Die letzten 10 Minuten abfragen Last 30 Minutes: Abfrage der letzten 30 Minuten Last 60 Minutes: Abfrage der letzten 60 Minuten Last 12 Hours: Abfrage der letzten 12 Stunden Letzte 24 Stunden: Abfrage der letzten 24 Stunden Letzte 7 Tage: Abfrage der letzten 7 Tage	Ja

6. Klicken Sie auf Fetch Data, um Ihre Widget mit den konfigurierten Einstellungen zu überprüfen.

   Hinweis Die Schaltfläche Fetch Data ist deaktiviert, wenn erforderliche Felder fehlen oder ungültig sind. Stellen Sie sicher, dass alle erforderlichen Felder mit gültigen Werten ausgefüllt sind.

7. Überprüfen Sie die Widget-Vorschau im Dashboard-Panel.

   Tipp Wenn Sie Ihre Konfiguration anpassen, klicken Sie erneut auf Fetch Data, um die Vorschau zu aktualisieren.

8. Klicken Sie auf Speichern, um das benutzerdefinierte Widget zu Ihrem Dashboard hinzuzufügen.

Diagrammtypen

Tipps

• Verwenden Sie beschreibende Metriknamen: Ein klarer Metrikname hilft Ihnen, den Zweck des Widgets auf einen Blick auf Ihrem Dashboard zu erkennen.
• Beginnen Sie mit einfachen Aggregationen: Beginnen Sie mit Zähl- oder einfachen Summenfunktionen, bevor Sie zu komplexen Mehrfeldgruppierungen übergehen.
• Vorschau vor dem Speichern: Klicken Sie immer auf Daten abrufen, um zu überprüfen, ob Ihr Widget die erwarteten Daten anzeigt, bevor Sie speichern.
• Wählen Sie geeignete Zeitintervalle: Für die Zeitbündelung wählen Sie Intervalle, die Ihren Analyseanforderungen entsprechen:
  • Verwenden Sie Minute für die Echtzeitüberwachung und sofortige Ereignisverfolgung
  • Verwenden Sie Stunde für die Analyse kurzfristiger Trends und aktueller Aktivitätsmuster
  • Verwenden Sie Tag für die Analyse langfristiger Trends und den historischen Datenüberblick
• Begrenzen Sie die Top-Ergebnisse für Klarheit: Wenn Sie nach Feldern gruppieren, die viele einzigartige Werte enthalten, verwenden Sie Top 5 oder Top 10, um die Visualisierungen lesbar zu halten.