ビュー:

XDR Data Explorerの検索結果からカスタムウィジェットを作成し、設定可能な集計とグループ化を通じてデータを視覚化および分析します。

カスタムウィジェットを使用すると、設定可能な集計とグループ化を通じて検索データを視覚化および分析できます。カスタムウィジェットを使用して、セキュリティ運用にとって最も重要な指標を強調するパーソナライズされたダッシュボードを作成してください。
注意
注意
カスタムウィジェットの機能は現在、XDR Data Explorerのクエリ結果に限定されています。

XDR Data Explorerの検索結果からカスタムウィジェットを作成する

  1. [AGENTIC SIEM AND XDR][XDR Data Explorer] に移動します。
  2. ドロップダウンオプション (データソース/プロセッサ、ログタイプ、期間) を選択し、検索フィールドに文字列を入力して[クエリを実行]をクリックすると、結果が得られます。
  3. [カスタムウィジェット]アイコン (custom-widget-icon=531d1ce6-06db-46c6-bc8a-767b923a12e2.png) をクリックして、カスタムウィジェットエディターを開きます。
  4. [クエリ]セクションを展開して検索パラメータを確認してください。
    • データソース/プロセッサ: 選択されたすべての製品をレイヤー (クラウド、メール、エンドポイント、ネットワーク、アイデンティティ、その他、サードパーティログ) ごとにグループ化して一覧表示します
    • 時間範囲: クエリの期間
    • LogType: ログの種類 (アクティビティまたは検出)
    • クエリ: 検索クエリ文字列
  5. [Data Settings] を設定します:
    1. [集約]の下で、メトリックの計算方法を指定してください。
      フィールド
      説明
      必須
      機能
      適用する集約関数:
      • : クエリに一致するイベントの総数をカウント
      • 合計: 数値フィールドの値の合計を計算する
      • 平均: 数値フィールドの平均値を計算
      • 最小: 数値フィールドで最小値を見つける
      • 最大: 数値フィールドで最大値を見つける
      • Distinct Count: フィールド内のユニークな値の数をカウントする
      はい
      フィールド
      集計する数値フィールド (Sum、Average、Min、Max、Distinct Count関数のみ)。利用可能なフィールドを検索するには入力を開始してください。
      はい (Countを除く)
      Metric Name
      メトリックのオプションのエイリアス。文字またはアンダースコアで始まり、英数字とアンダースコアのみを含む必要があります。指定しない場合は、デフォルト名が生成されます。
      No
    2. [グループ別]の下で、結果をどのようにグループ化するか指定してください。
      フィールド
      説明
      必須
      方法
      グループ化方法:
      • フィールド: 特定のフィールド値でグループ化
      • Time Binning: 時間間隔でグループ化
      • Time Binning and Field: 時間間隔とフィールド値の両方でグループ化
      はい
      時間間隔
      グループ化の時間間隔 (時間ビニング方法のみ):
      • Minute: 分単位でグループ化
      • 時間: 時間別にグループ化
      • : 日ごとにグループ化
      はい (時間ビニングの場合)
      フィールド
      フィールドベースのメソッドのみで使用するグループ化するフィールド。利用可能なフィールドを検索するには入力を開始してください。
      はい (フィールドベースの方法の場合)
    3. [Result Settings]の下で、結果の表示方法を設定します。
      フィールド
      説明
      必須
      種類
      表示する上位結果の数:
      • トップ5: 上位5件の結果を表示
      • トップ10: 上位10件の結果を表示
      • トップ20: 上位20件の結果を表示
      • トップ50: 上位50件の結果を表示
      • トップ100: 上位100件の結果を表示
      • トップ500: 上位500件の結果を表示
      • トップ1000: 上位1000件の結果を表示
      • すべての記録: すべての結果を表示 (時間ベースのグループ化の場合は自動)
      はい
      Sort By
      結果の並び順:
      時間ビニング方法の場合:
      • Oldest First: 時間昇順で並べ替え
      • Newest First: 時間降順で並べ替え
      フィールドメソッドの場合:
      • {Function} Highest First: メトリック値の降順で並べ替え (例: 「カウントが多い順」)
      • {Function} Lowest First: メトリック値の昇順で並べ替え (例: 「カウント昇順」)
      はい
    4. [時間範囲]の下で、ウィジェットがデータを照会するタイミングを選択してください。
      フィールド
      説明
      必須
      範囲
      ウィジェットデータの時間範囲:
      • Use Query Time Range: 元の検索の時間範囲を使用します (最大7日間)
      • Last 10 Minutes: 過去10分間をクエリ
      • Last 30 Minutes: 過去30分をクエリ
      • Last 60 Minutes: 過去60分をクエリ
      • Last 12 Hours: 過去12時間をクエリ
      • 過去24時間: 過去24時間を照会
      • 過去7日間: 過去7日間を照会
      はい
  6. [Fetch Data]をクリックして、設定された内容でウィジェットをプレビューします。
    注意
    注意
    [Fetch Data]ボタンは、必須フィールドが欠落しているか無効な場合は無効になります。必須フィールドに有効な値がすべて入力されていることを確認してください。
  7. ダッシュボードパネルでウィジェットプレビューを確認してください。
    ヒント
    ヒント
    設定を調整した場合は、プレビューを更新するために[Fetch Data]を再度クリックしてください。
  8. [保存] をクリックして、カスタムウィジェットをダッシュボードに追加します。

チャートタイプ

カスタムウィジェットで利用可能なチャートタイプは、[グループ別] メソッドに依存します。
[グループ別]メソッドが選択されました
利用可能なチャートタイプ
フィールド
棒グラフ、円グラフ、表
Time Binning
棒グラフ、折れ線グラフ、時系列グラフ、表
Time Binning and Field
棒グラフ、折れ線グラフ、時系列グラフ、表

ヒント

  • 説明的なメトリック名を使用する: 明確なメトリック名は、ダッシュボード上でウィジェットの目的を一目で識別するのに役立ちます。
  • シンプルな集計から始める: 複雑な複数フィールドのグループ化に移る前に、CountやシンプルなSum関数から始めてください。
  • 保存前にプレビュー: 保存する前に必ずデータを取得をクリックして、ウィジェットが期待通りのデータを表示していることを確認してください。
  • 適切な時間間隔を選択: 時間ビニングの場合、分析のニーズに合った間隔を選択してください。
    • リアルタイム監視と即時イベント追跡には[Minute]を使用してください
    • 短期的なトレンド分析と最近の活動パターンには[時間]を使用してください
    • [日]を使用して、長期的なトレンド分析と履歴データの概要を行います
  • 明確さのために上位の結果を制限: 多くのユニークな値を含むフィールドでグループ化する場合、視覚化を読みやすく保つために上位5または上位10を使用してください。