檢視次數:

從 XDR 資料防護探索器的搜尋結果建立自訂小工具,以透過可配置的聚合和分組來視覺化和分析您的資料。

自訂小工具可讓您透過可配置的聚合和分組來視覺化和分析您的搜尋資料。使用自訂小工具來建立個人化儀表板,突出顯示對您的安全操作最重要的指標。
注意
注意
自訂小工具功能目前僅限於來自 XDR 資料防護探索器的查詢結果。

從 XDR 資料防護探索搜尋結果建立自訂小工具

  1. 移至「AGENTIC SIEM AND XDR」「XDR Data Explorer」
  2. 選擇您想要的下拉選項(資料來源/處理器、記錄類型和時間範圍),在搜尋欄位中輸入字串,然後點擊「Run Query」以獲取結果。
  3. 點擊「Custom Widget」圖示(custom-widget-icon=531d1ce6-06db-46c6-bc8a-767b923a12e2.png)以開啟自訂小工具編輯器。
  4. 展開「查詢」部分以查看您的搜尋參數:
    • Data source / processor:列出所有按層級分組的選定產品(雲端、電子郵件、端點、網路、身份、其他、第三方日誌)
    • 時間範圍:查詢的時間範圍
    • LogType:日誌類型(活動或偵測)
    • 查詢:搜尋查詢字串
  5. 設定「Data Settings」:
    1. 「Aggregation」下,指定如何計算您的指標:
      欄位
      說明
      必要
      Function
      要套用的聚合函數:
      • 總數:計算符合查詢的事件總數
      • Sum:計算數值欄位中的總和
      • Average:計算數值欄位的平均值
      • Min:在數值欄位中尋找最小值
      • Max:在數值欄位中尋找最大值
      • Distinct Count:計算欄位中唯一值的數量
      Field
      要聚合的數值欄位(僅適用於加總、平均值、最小值、最大值、唯一計數功能)。開始輸入以搜尋可用的欄位。
      是(計數除外)
      Metric Name
      度量的選擇性別名。必須以字母或底線開頭,且僅包含字母、數字和底線。如果未指定,將生成預設名稱。
      No
    2. 「Group By」下,指定如何分組您的結果:
      欄位
      說明
      必要
      方法
      分組方法:
      • Field:按特定欄位值分組
      • Time Binning:按時間間隔分組
      • Time Binning and Field:按時間間隔和欄位值分組
      時間間隔
      用於分組的時間間隔(僅適用於時間分箱方法):
      • Minute:按分鐘分組
      • 小時:按小時分組
      • :按天分組
      是(用於時間分箱)
      Field
      用於分組的欄位(僅適用於基於欄位的方法)。開始輸入以搜尋可用的欄位。
      是(針對基於欄位的方法)
    3. 「Result Settings」下,設定如何顯示結果:
      欄位
      說明
      必要
      類型
      顯示的頂部結果數量:
      • 前 5 名:顯示前 5 個結果
      • 前 10 名:顯示前 10 個結果
      • Top 20:顯示前 20 個結果
      • 前 50 名:顯示前 50 個結果
      • Top 100:顯示前 100 個結果
      • Top 500:顯示前 500 個結果
      • Top 1000:顯示前 1000 個結果
      • All Records:顯示所有結果(時間分組自動)
      Sort By
      結果排序順序:
      針對時間分箱方法:
      • Oldest First:按時間升序排序
      • Newest First:按時間降序排序
      針對欄位方法:
      • {Function} Highest First:按指標值降序排序(例如,「計數最高優先」)
      • {Function} Lowest First:按指標值升序排序(例如,「計數從低到高」)
    4. 「時間範圍」下,選擇小工具應查詢資料防護的時間:
      欄位
      說明
      必要
      範圍
      小工具資料的時間範圍:
      • Use Query Time Range:使用您原始搜尋的時間範圍(最多 7 天)
      • Last 10 Minutes:查詢過去 10 分鐘
      • Last 30 Minutes:查詢過去 30 分鐘
      • Last 60 Minutes:查詢過去 60 分鐘
      • Last 12 Hours:查詢過去 12 小時
      • 最近 24 小時:查詢過去 24 小時
      • 最近 7 天:查詢過去 7 天
  6. 點擊「Fetch Data」以預覽您的小工具及其配置設定。
    注意
    注意
    如果必填欄位缺失或無效,「Fetch Data」 按鈕將被停用。請確保所有必填欄位均填入有效值。
  7. 在資訊中心面板上查看小工具預覽。
    秘訣
    秘訣
    如果您調整了您的配置,請再次點擊「Fetch Data」以更新預覽。
  8. 按一下「儲存」,可新增自訂 Widget 至您的資訊中心。

圖表類型

自訂小工具可用的圖表類型取決於「Group By」方法:
已選擇「Group By」方法
可用的圖表類型
Field
長條圖, 圓餅圖, 表格
Time Binning
長條圖, 折線圖, 時間序列圖, 表格
Time Binning and Field
長條圖, 折線圖, 時間序列圖, 表格

提示

  • 使用描述性指標名稱:清晰的指標名稱可幫助您在資訊中心一目了然地識別小工具的用途。
  • 從簡單的聚合開始:先從計數或簡單的總和函數開始,再進行複雜的多字段分組。
  • 儲存前預覽:在儲存之前,請務必點擊獲取資料以確認您的小工具顯示預期的資料。
  • 選擇適當的時間間隔:對於時間分箱,請選擇符合您分析需求的間隔:
    • 使用「Minute」進行即時監控和立即事件追蹤
    • 使用「小時」進行短期趨勢分析和近期活動模式
    • 使用「天」進行長期趨勢分析和歷史資料防護總覽
  • 限制頂部結果以提高清晰度:當按包含許多唯一值的欄位分組時,使用前 5 或前 10 以保持視覺化的可讀性。