시각화 연산자

개요

키는 이 파생 디텍션과 그 베이스 디텍션 간의 연결이며, 상속이 적용되어야 함을 나타냅니다. 시각화 연산자는 Panther 버전 1.110부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 다음을 특히 유의하시고 제한 사항(Limitations) 아래에 나열된 항목을 확인하고 모든 버그 보고 및 기능 요청을 Panther 지원팀과 공유하십시오.

연산자를 사용하여 시각화 연산자를 사용하여 쿼리 결과의 막대, 선, 파이 차트 또는 표를 생성합니다.

| visualize <bar|line|pie|table> <annotation>=<expression>[, ...]

다음을 사용하여 시각화 두 개의 필드가 있고 그 중 적어도 하나가 숫자형인 결과 집합과 함께 사용할 수 있습니다. 특히 시각화 와 함께 summarize 및 agg.count()와 같은 집계가 유용합니다. 시각화 연산자는 PantherFlow 쿼리에서 마지막에 사용되어야 하며 데이터를 필터링하거나 변환하지 않습니다.

시각화를 생성한 후에는 이를 사용자 지정 대시보드.

기본적으로 시각화 은 세로 막대 차트를 표시하지만, line, bar, pie정책(policy) table 을 사용하여 유형을 설정할 수 있습니다. 지원되는 주석을 사용하여 시각화를 추가로 사용자화하십시오..

제한 사항(Limitations)

차트(line, bar, 및 pie 시각화)에서는 series= 를 선언할 때 잘못된 열이 선택될 수 있지만 xcolumn=는 선택되지 않았거나 그 반대의 경우가 생길 수 있습니다 (xcolumn= 하지만 series)
세로 막대 차트를 수평(왼쪽/오른쪽)으로 이동하려면 세로로(위/아래) 스크롤해야 합니다.
최대 999개의 데이터 포인트를 시각화할 수 있습니다.
데이터는 정렬된 순서로 표시됩니다. 시계열 데이터의 경우 그래프에 시간 순서로 표시하려면 데이터를 시간으로 정렬해야 합니다.
막대 차트에서는 열이 알파벳 순으로 정렬되며 재배열할 수 없습니다.

지원되는 시각화 유형

bar (기본값): 범주형 데이터는 직사각형 막대로 표시됩니다.
line: 일반적으로 시간에 따른 추세를 보여주는 데 사용되며, 데이터 포인트는 직선으로 연결됩니다.
- 를 생성하려면 line x축에 표시되는 필드가 날짜/시간 데이터 유형이어야 합니다.
pie: 데이터를 원형 차트의 조각으로 표시하며 전체에 대한 비율이나 부분을 보여주는 데 유용합니다.
- 이 차트 유형은 범주형 데이터에 대해 카테고리별 상대적 크기나 백분율 분포를 시각화할 때 사용하십시오.
table: 데이터가 표 형식으로 표시됩니다.
- 이는 이미 검색에 표시된 결과 테이블과 유사하지만 table 을 사용하면 표 형식의 데이터를 사용자 지정 대시보드.

에 추가하려는 경우 유용할 수 있습니다.

지원되는 주석 시각화 시각화를 사용자화하려면

와 함께 주석을 사용하십시오. 여러 주석은 쉼표로 구분합니다(예:)

| visualize bar legend=left, orientation=horizontal, title="My Chart"bar, line정책(policy) pie).

아래의 주석을 사용하려면 쿼리에서 시각화 유형을 명시적으로 설정해야 합니다 (

Description

지원되는 시각화 유형

주석

예시

지원되는 값

title 차트의 제목입니다. 제공되지 않으면 기본값은<x축 필드 이름> vs <y축 필드 이름>

bar, line, pie, table

입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.

<문자열>

title="My Chart"

orientation 차트의 방향입니다. 만약, xcolumn정책(policy) series ycolumn title="My Chart".

bar

이 설정되어 있으면 이들이 보다 우선할 수 있습니다. vertical

(기본값)

horizontal

orientation=horizontal legend 차트 범례의 존재 및 위치입니다. 기본값은 hidden 단일 시리즈 데이터의 경우 및

bottom legend.

bar, line, pie

legend 다중 시리즈 데이터의 경우입니다. 범례를 숨기려면 (단일 시리즈 데이터의 기본값)을 사용하십시오. hidden) visible hidden (기본값은 top 다중 시리즈 데이터의 기본값)

left

차트의 방향입니다. 만약

right

bar, line

입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.

legend=right

xcolumn

x축에 표시되어야 하는 필드의 이름입니다. (이것은 x축의 레이블이 아닙니다.)

bar, line

입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.

xcolumn=mean

series

y축에 표시되어야 하는 필드의 이름입니다. (이것은 y축의 레이블이 아닙니다.)

ycolumn=detectionId line 데이터를 그룹화하는 데 사용되어야 하는 필드의 이름입니다. 차트는 다음과 같을 수 있습니다: bar 단일 시리즈: 선형 차트의 경우 단일 선으로 표시되며
차트의 경우 단일 색상으로 구성된 막대로 표시됩니다. line 다중 시리즈: 선형 차트의 경우 서로 다른 색상의 여러 선으로 표시되며 bar 단일 시리즈: 선형 차트의 경우 단일 선으로 표시되며

차트의 경우 여러 색상으로 구성된 막대로 표시됩니다. series 가 제공되지 않으면 PantherFlow는 어떤 필드를 series 값으로 처리할지 가정합니다.

bar, line

입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.

series=email

예시

예시 데이터

let my_table = datatable [
  { "actionName": "SIGN_IN", "events": 12 },
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 2 },
  { "actionName": "CREATE_USER", "events": 4 },
  { "actionName": "CREATE_RULE", "events": 10 }
];

기본 막대 차트

my_table
| visualize

A table with the title "actionName vs events" is shown, with four vertical columns.

다음이 설정된 막대 차트 `horizontal`, `title="My Chart"`, 및 `지원되는 값` set

my_table
와 함께 주석을 사용하십시오. 여러 주석은 쉼표로 구분합니다(예:)

A table titled "My Chart" with four horizontal columns are shown.

다음이 설정된 막대 차트 `agg.count()`

이 예시는 실제 데이터 세트처럼 두 개 이상의 필드를 가진 샘플 데이터를 사용합니다. 쿼리는 summarize events = agg.count() by actionName 를 사용하여 두 개의 필드(actionName 및 events)를 가진 결과 집합을 생성한 다음 시각화 가 사용됩니다. 집계에 대해 자세히 알아보려면 PantherFlow Functions 및 summarize 의 Summarize Operator.

에서 확인하십시오.

예시 데이터

이 쿼리는 고유한 예시 데이터를 가집니다:
  let panther_audit = datatable [
  { "actionName": "SIGN_IN", "id": "222ef2375b1bf394f687ea842065", "p_event_time": time.parse_timestamp("2024-11-14 00:00:00") },
  { "actionName": "CREATE_ALERT_DESTINATION", "id": "320a3b11b854c5ceebb2d08420d99d09", "p_event_time": time.parse_timestamp("2024-10-16 00:00:00") },
  { "actionName": "CREATE_ALERT_DESTINATION", "id": "86a6c88c5b39ede087d3e98420e022", "p_event_time": time.parse_timestamp("2024-11-04 00:00:00") },
  { "actionName": "CREATE_USER", "id": "5a0cbd047f5bf380c281d68420bec709", "p_event_time": time.parse_timestamp("2024-11-12 00:00:00") },
  { "actionName": "CREATE_USER", "id": "4b0d0f487a2ae459c3976f8420d1a810", "p_event_time": time.parse_timestamp("2024-11-11 00:00:00") },
  { "actionName": "CREATE_USER", "id": "7c1e1a59f6bcf4b6d5b83f8420baf911", "p_event_time": time.parse_timestamp("2024-10-27 00:00:00") },
  { "actionName": "CREATE_USER", "id": "9d2f2b60a7cdb58ff6a96f8420fa0b12", "p_event_time": time.parse_timestamp("2024-11-09 00:00:00") },
  { "actionName": "CREATE_RULE", "id": "1e3f3c7189eec6c1e8ca7f8420e3c213", "p_event_time": time.parse_timestamp("2024-11-13 00:00:00") },
  { "actionName": "CREATE_RULE", "id": "2f404d82aa1fe7d3f9d58f8420e5d314", "p_event_time": time.parse_timestamp("2024-10-31 00:00:00") },
];

{ "actionName": "CREATE_RULE", "id": "603f5e93bb20f8e509e79f8420e7e415", "p_event_time": time.parse_timestamp("2024-11-03 00:00:00") }
panther_audit
| summarize events = agg.count() by actionName
| sort actionName desc
| visualize

A table titled "actionName vs events" is shown with four vertical columns.

| limit 4 `지원되는 값` set

에서 확인하십시오.

예시 데이터

let my_table = datatable [
  선형 차트 (다음 데이터 사용)
  { "p_event_time": time.parse_timestamp("2024-08-14 00:00:00"), "events": 120 },
  { "p_event_time": time.parse_timestamp("2024-08-13 00:00:00"), "events": 20 },
  { "p_event_time": time.parse_timestamp("2024-08-12 00:00:00"), "events": 150 },
  { "p_event_time": time.parse_timestamp("2024-08-11 00:00:00"), "events": 200 },
  { "p_event_time": time.parse_timestamp("2024-08-10 00:00:00"), "events": 50 },
  { "p_event_time": time.parse_timestamp("2024-08-09 00:00:00"), "events": 80 },
];

my_table
{ "p_event_time": time.parse_timestamp("2024-08-08 00:00:00"), "events": 10 }

A line chart titled "Last week's events" is shown, with seven data points.

| visualize line title="지난 주의 이벤트"

시간별 액션 수를 측정한 선형 차트 아래 쿼리는 Panther 감사 로그 actionName.

지난 이틀 동안 시간별 액션 수를 표시하며 데이터를 시간 단위로 버킷화합니다. 각 에 대해 별도의 차트 선이 추가됩니다. 이 페이지의 다른 예시 쿼리들은 datatable 을 사용해 모의 데이터를 제공하지만, 아래 쿼리는 귀하의 실시간 데이터에서 가져옵니다.

panther_logs
데이터베이스에서.
panther_logs.public.panther_audit
| where p_event_time >= time.ago(2d)
| summarize count = agg.count() by actionName, hour = time.trunc('hour', p_event_time)

| sort hour asc

| visualize line legend=bottom, title='시간별 액션 수' detectionId별 일일 경보 수를 측정한 선형 차트 아래 쿼리는 지난 2주 동안

지난 이틀 동안 시간별 액션 수를 표시하며 데이터를 시간 단위로 버킷화합니다. 각 에 대해 별도의 차트 선이 추가됩니다. 이 페이지의 다른 예시 쿼리들은 데이터베이스 을 사용해 모의 데이터를 제공하지만, 아래 쿼리는 귀하의 실시간 데이터에서 가져옵니다.

detectionId
별 일일 경보 수를 표시합니다.
panther_signals.public.signal_alerts
| where p_event_time >= time.ago(2d)
| where p_event_time >= time.ago(14d)

| summarize count = agg.count() by detectionId, hour = time.trunc('day', p_event_time)

| visualize line title="일별 detectionId별 경보 수" detectionId별 일일 경보 수를 측정한 선형 차트.

detectionId
평균 탐지 시간(Mean Time to Detect)을 측정한 막대 차트
아래 쿼리는 이벤트가 수집된 시점과 탐지가 트리거된 시점 사이의 평균 시간을 표시하며, 탐지Id별로 가장 느린 15개의 룰에 대한 값을 보여줍니다.
| where p_event_time >= time.ago(7d) and ingestTimeToDetectionSeconds != null
| summarize mean = agg.avg(ingestTimeToDetectionSeconds) by detectionId
| sort mean desc

| limit 15 `series`

에서 확인하십시오.

| visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='탐지까지 평균 시간'

let my_table = datatable [  
  다음을 사용한 막대 차트
  예시 데이터:
  { "actionName": "SIGN_IN", "events": 12 , "user": "alice"},
  { "actionName": "SIGN_IN", "events": 7 , "user": "bob"},
  { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 2, "user": "alice"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 3, "user": "chris"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 5, "user": "emily"},
  { "actionName": "CREATE_USER", "events": 1, "user": "alice" },
  { "actionName": "CREATE_USER", "events": 4 , "user": "frankie"},
  { "actionName": "CREATE_USER", "events": 3 , "user": "ross"},
  { "actionName": "CREATE_RULE", "events": 12, "user": "betsy" },
];

my_table
{ "actionName": "CREATE_RULE", "events": 6, "user": "bob" },

Under an actionName vs events header is a bar chart. There are four vertical columns, and each column in separated into three colors.

{ "actionName": "CREATE_RULE", "events": 6, "user": "casey" }

지난 이틀 동안 시간별 액션 수를 표시하며 데이터를 시간 단위로 버킷화합니다. 각 에 대해 별도의 차트 선이 추가됩니다. 이 페이지의 다른 예시 쿼리들은 | visualize bar series=user 을 사용해 모의 데이터를 제공하지만, 아래 쿼리는 귀하의 실시간 데이터에서 가져옵니다.

도시, 국가별 로그인 수를 표시한 막대 차트
okta_systemlog
panther_logs.public.okta_systemlog
| where eventType == 'user.session.start' and p_event_time > time.ago(90d)
| extend country = client.geographicalContext.country, city = client.geographicalContext.city
| summarize events = agg.count() by country, city
| project country, events, city
| sort events desc

A bar char is shown, titled "Logins by city, country." There are four bars, labeled Atlanta, Maplewood, Athens, and Thessaloniki.

| limit 10

| visualize bar orientation=horizontal,title='도시, 국가별 로그인 수'

예시 데이터

let my_table = datatable [
  { "actionName": "SIGN_IN", "events": 12 },
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 2 },
  { "actionName": "CREATE_USER", "events": 4 },
  { "actionName": "CREATE_RULE", "events": 10 }
];

my_table
비율 데이터로 된 파이 차트 시각화

이 예시는 서로 다른 액션 유형의 분포를 비율 데이터로 표시합니다:

| visualize pie title="액션 분포"

panther_logs
집계된 데이터로 만든 파이 차트
panther_audit
| summarize events = agg.count() by country, city
아래 쿼리는 지난 주 동안의 Panther 감사 액션을 유형별로 분포를 표시합니다:
| where p_event_time >= time.ago(7d)

| limit 8 `지원되는 값` set

에서 확인하십시오.

| visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='탐지까지 평균 시간'

let my_table = datatable [  
  다음을 사용한 막대 차트
  예시 데이터:
  { "actionName": "SIGN_IN", "events": 12 , "user": "alice"},
  { "actionName": "SIGN_IN", "events": 7 , "user": "bob"},
  { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 2, "user": "alice"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 3, "user": "chris"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 5, "user": "emily"},
  { "actionName": "CREATE_USER", "events": 1, "user": "alice" },
  { "actionName": "CREATE_USER", "events": 4 , "user": "frankie"},
  { "actionName": "CREATE_USER", "events": 3 , "user": "ross"},
  { "actionName": "CREATE_RULE", "events": 12, "user": "betsy" },
];

my_table
| visualize pie title="액션 유형 분포 (지난 7일)"다음과 같이"

Under an "Actions by user" title is a table with three columns, labeled actionName, events, and user.

이전유니온 연산자 다음Where 연산자

마지막 업데이트 5일 전

도움이 되었나요?

hashtag개요

hashtag제한 사항(Limitations)

hashtag지원되는 시각화 유형

hashtag에 추가하려는 경우 유용할 수 있습니다.

hashtag예시

hashtag기본 막대 차트

hashtag다음이 설정된 막대 차트 horizontal, title="My Chart", 및 지원되는 값 set

hashtag다음이 설정된 막대 차트 agg.count()

hashtag| limit 4 지원되는 값 set

hashtag| visualize line title="지난 주의 이벤트"

hashtag| sort hour asc

hashtag| summarize count = agg.count() by detectionId, hour = time.trunc('day', p_event_time)

hashtag| limit 15 series

hashtag{ "actionName": "CREATE_RULE", "events": 6, "user": "casey" }

hashtag| limit 10

hashtag이 예시는 서로 다른 액션 유형의 분포를 비율 데이터로 표시합니다:

hashtag| limit 8 지원되는 값 set

개요

제한 사항(Limitations)

지원되는 시각화 유형

에 추가하려는 경우 유용할 수 있습니다.

예시

기본 막대 차트

다음이 설정된 막대 차트 `horizontal`, `title="My Chart"`, 및 `지원되는 값` set

다음이 설정된 막대 차트 `agg.count()`

| limit 4 `지원되는 값` set

| visualize line title="지난 주의 이벤트"

| sort hour asc

| summarize count = agg.count() by detectionId, hour = time.trunc('day', p_event_time)

| limit 15 `series`

{ "actionName": "CREATE_RULE", "events": 6, "user": "casey" }

| limit 10

이 예시는 서로 다른 액션 유형의 분포를 비율 데이터로 표시합니다:

| limit 8 `지원되는 값` set