시각화 연산자

개요

를 입력하세요 시각화 연산자는 Panther 버전 1.110부터 오픈 베타이며 모든 고객이 사용할 수 있습니다. 다음의 제한 사항 을(를) 특별히 확인하시고 모든 버그 보고서 및 기능 요청을 Panther 지원 팀과 공유하세요.

다음을 사용하세요 시각화 연산자는 쿼리 결과의 막대형 또는 선형 차트 또는 테이블을 생성합니다.

| visualize <bar|line|table> <annotation>=<expression>[, ...]

다음을 사용하여 시각화 두 개의 필드를 가지며 적어도 하나의 필드가 숫자형인 결과 집합과 함께 사용합니다. 특히 시각화 와(과) 함께 사용하면 유용합니다 summarize 및 다음과 같은 집계와 함께 agg.count(). 시각화 연산자는 PantherFlow 쿼리에서 마지막에 사용되어야 하며 데이터를 필터링하거나 변환하지 않습니다.

시각화를 생성한 후에는 이를 사용자 지정 대시보드.

에 추가할 수 있습니다. 기본적으로 시각화 는 세로 막대 차트를 표시하지만, line, bar또는 table 을(를) 사용하여 유형을 설정할 수 있습니다. 지원되는 주석.

제한 사항

을(를) 사용하여 시각화를 추가로 사용자 지정할 수 있습니다.line 및 bar 차트(시각화)의 경우, series= 를 선언했지만 xcolumn=를 선언하지 않았거나 그 반대(즉,xcolumn= 를 선언했지만 series)
를 선언하지 않은 경우)에 잘못된 열이 선택될 수 있습니다.
세로 막대 차트를 수평으로(왼쪽/오른쪽) 이동하려면 수직으로(위/아래) 스크롤해야 합니다.
최대 999개의 데이터 포인트를 시각화할 수 있습니다.
데이터는 정렬된 순서로 표시됩니다. 시계열 데이터의 경우 그래프에 시간 순서대로 표시하려면 데이터를 시간으로 정렬해야 합니다.

막대 차트에서 열은 알파벳 순으로 정렬되며 재배열할 수 없습니다.

bar 지원되는 시각화 유형
line(기본값): 범주형 데이터는 직사각형 막대로 표현됩니다.
- : 일반적으로 시간에 따른 추세를 보여줄 때 사용되며, 데이터 포인트는 직선으로 연결됩니다. line 차트를 생성하려면 x축에 표현되는 필드의 데이터 유형이 날짜/시간이어야 합니다.
table: 데이터는 표 형식으로 표현됩니다.
- 이는 이미 알림 요약을 보는 동안 알림 위에 마우스를 올려 놓으면 오른쪽에 "복사" 아이콘이 나타납니다. 아이콘을 클릭하면 속성 값을 복사하여 데이터 탐색기(Data Explorer)에서 사용할 수 있습니다.에 표시된 결과 테이블과 유사하지만, table 를 사용하면 표 형식 데이터를 사용자 지정 대시보드.

에 추가하려는 경우 유용할 수 있습니다.

지원되는 주석 시각화 주석은

와(과) 함께 사용하여 생성된 시각화를 사용자 지정하세요. 여러 주석은 쉼표로 구분합니다. 예:

| visualize bar legend=left, orientation=horizontal, title="My Chart"bar 또는 line).

아래의 주석 중 하나를 사용하려면 쿼리에서 시각화 유형을 명시적으로 설정해야 합니다 (

설명

막대 차트에서 열은 알파벳 순으로 정렬되며 재배열할 수 없습니다.

주석

지원 값

예시

title 차트의 제목입니다. 제공되지 않으면 기본값은<x축 필드 이름> vs <y축 필드 이름>

bar, line, table

입니다. 값에 공백이 포함된 경우 따옴표로 감싸야 합니다.

<문자열>

title="My Chart"

orientation 차트의 방향입니다. 만약, xcolumn또는 series ycolumn title="My Chart".

bar

이(가) 설정되어 있으면 이들이 (기본값) 보다 우선할 수 있습니다.

vertical

horizontal

orientation=horizontal legend 차트 범례의 존재 및 위치. 기본값은 숨김 단일 시리즈 데이터의 경우 및

하단 legend.

bar, line

legend 다중 시리즈 데이터의 경우입니다. 범례를 숨기려면 (단일 시리즈 데이터의 기본값) 숨김) visible 숨김 (기본값은 top 입니다)

left

차트의 방향입니다. 만약

right

bar, line

입니다. 값에 공백이 포함된 경우 따옴표로 감싸야 합니다.

legend=right

xcolumn

x축에 표현되어야 하는 필드의 이름입니다. (이것은 x축의 레이블이 아닙니다.)

bar, line

입니다. 값에 공백이 포함된 경우 따옴표로 감싸야 합니다.

xcolumn=mean

series

y축에 표현되어야 하는 필드의 이름입니다. (이것은 y축의 레이블이 아닙니다.)

ycolumn=detectionId line 데이터를 그룹화하는 데 사용해야 하는 필드의 이름입니다. 차트는 다음과 같을 수 있습니다: bar 단일 시리즈: 선형
차트의 경우 단일 선으로 표현되고 line 차트의 경우 단일 색상의 막대로 표현됩니다. bar 단일 시리즈: 선형

다중 시리즈: 각기 다른 색의 여러 선으로 표현되는 series 차트와 여러 색으로 구성된 막대로 표현되는 series 차트가 있습니다.

bar, line

입니다. 값에 공백이 포함된 경우 따옴표로 감싸야 합니다.

만약

이 기능은 규칙이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알림 요약은 각 이벤트를 수동으로 검토하지 않고도 모든 일치 이벤트의 개요를 제공합니다.

이(가) 제공되지 않으면 PantherFlow는 어떤 필드를

값으로 취급해야 하는지에 대해 가정합니다.
  series=email
  예제 데이터
  let my_table = datatable [
  { "actionName": "SIGN_IN", "events": 12 },
];

{ "actionName": "CREATE_ALERT_DESTINATION", "events": 2 },

{ "actionName": "CREATE_USER", "events": 4 },
{ "actionName": "CREATE_RULE", "events": 10 }

A table with the title "actionName vs events" is shown, with four vertical columns.

기본 막대 차트 `horizontal`, `title="My Chart"` 및 `예시` my_table

{ "actionName": "CREATE_USER", "events": 4 },
와(과) 함께 사용하여 생성된 시각화를 사용자 지정하세요. 여러 주석은 쉼표로 구분합니다. 예:

A table titled "My Chart" with four horizontal columns are shown.

기본 막대 차트 `agg.count()`

| visualize 설정된 막대 차트이 예제는 대부분의 실제 데이터 세트처럼 두 개 이상의 필드를 가진 샘플 데이터를 사용합니다. 쿼리는 및 summarize events = agg.count() by actionName를 사용하여 두 개의 필드( 시각화 actionName events 및 summarize )를 가진 결과 집합을 생성한 후 가 사용됩니다. 집계에 대해 자세히 알아보려면.

PantherFlow 함수

이(가) 제공되지 않으면 PantherFlow는 어떤 필드를

를
  요약 연산자
  에서 확인하세요.
  이 쿼리는 고유한 예제 데이터를 가지고 있습니다:
  let panther_audit = datatable [
  { "actionName": "SIGN_IN", "id": "222ef2375b1bf394f687ea842065", "p_event_time": time.parse_timestamp("2024-11-14 00:00:00") },
  { "actionName": "CREATE_ALERT_DESTINATION", "id": "320a3b11b854c5ceebb2d08420d99d09", "p_event_time": time.parse_timestamp("2024-10-16 00:00:00") },
  { "actionName": "CREATE_ALERT_DESTINATION", "id": "86a6c88c5b39ede087d3e98420e022", "p_event_time": time.parse_timestamp("2024-11-04 00:00:00") },
  { "actionName": "CREATE_USER", "id": "5a0cbd047f5bf380c281d68420bec709", "p_event_time": time.parse_timestamp("2024-11-12 00:00:00") },
  { "actionName": "CREATE_USER", "id": "4b0d0f487a2ae459c3976f8420d1a810", "p_event_time": time.parse_timestamp("2024-11-11 00:00:00") },
  { "actionName": "CREATE_USER", "id": "7c1e1a59f6bcf4b6d5b83f8420baf911", "p_event_time": time.parse_timestamp("2024-10-27 00:00:00") },
];

{ "actionName": "CREATE_USER", "id": "9d2f2b60a7cdb58ff6a96f8420fa0b12", "p_event_time": time.parse_timestamp("2024-11-09 00:00:00") },
{ "actionName": "CREATE_RULE", "id": "1e3f3c7189eec6c1e8ca7f8420e3c213", "p_event_time": time.parse_timestamp("2024-11-13 00:00:00") },
{ "actionName": "CREATE_RULE", "id": "2f404d82aa1fe7d3f9d58f8420e5d314", "p_event_time": time.parse_timestamp("2024-10-31 00:00:00") },
{ "actionName": "CREATE_RULE", "id": "603f5e93bb20f8e509e79f8420e7e415", "p_event_time": time.parse_timestamp("2024-11-03 00:00:00") }
{ "actionName": "CREATE_RULE", "events": 10 }

A table titled "actionName vs events" is shown with four vertical columns.

panther_audit `예시` my_table

PantherFlow 함수

이(가) 제공되지 않으면 PantherFlow는 어떤 필드를

값으로 취급해야 하는지에 대해 가정합니다.
  | summarize events = agg.count() by actionName
  | sort actionName desc
  | limit 4
  설정된 선형 차트
  { "p_event_time": time.parse_timestamp("2024-08-14 00:00:00"), "events": 120 },
  { "p_event_time": time.parse_timestamp("2024-08-13 00:00:00"), "events": 20 },
  { "p_event_time": time.parse_timestamp("2024-08-12 00:00:00"), "events": 150 },
];

{ "actionName": "CREATE_USER", "events": 4 },
{ "p_event_time": time.parse_timestamp("2024-08-11 00:00:00"), "events": 200 },

A line chart titled "Last week's events" is shown, with seven data points.

{ "p_event_time": time.parse_timestamp("2024-08-10 00:00:00"), "events": 50 },

{ "p_event_time": time.parse_timestamp("2024-08-09 00:00:00"), "events": 80 }, { "p_event_time": time.parse_timestamp("2024-08-08 00:00:00"), "events": 10 } | visualize line title="Last week's events" 이 예제는 대부분의 실제 데이터 세트처럼 두 개 이상의 필드를 가진 샘플 데이터를 사용합니다. 쿼리는.

시간별 액션 수를 측정한 선형 차트 아래 쿼리는 지난 이틀 동안의 시간별 Panther 감사 로그 액션 수를 시간별로 집계하여 표시합니다. 각 에 대해 별도의 차트 선이 추가됩니다.

이 페이지의 다른 예제 쿼리는 모의 데이터를 제공하기 위해
datatable
을(를) 사용하지만, 아래 쿼리는 실시간 데이터를 귀하의
panther_logs
데이터베이스에서 가져옵니다.

panther_logs.public.panther_audit

| where p_event_time >= time.ago(2d) | summarize count = agg.count() by actionName, hour = time.trunc('hour', p_event_time) | sort hour asc

시간별 액션 수를 측정한 선형 차트 아래 쿼리는 지난 이틀 동안의 시간별 Panther 감사 로그 | visualize line legend=bottom, title='Action count by hour' 에 대해 별도의 차트 선이 추가됩니다.

detectionId별 일별 경고 수를 측정한 선형 차트
아래 쿼리는 지난 2주 동안의
detectionId
panther_logs
별 일별 경고 수를 표시합니다.

panther_signals

panther_signals.public.signal_alerts | summarize count = agg.count() by actionName, hour = time.trunc('hour', p_event_time).

detectionId별 일별 경고 수를 측정한 선형 차트
| where p_event_time >= time.ago(14d)
| summarize count = agg.count() by detectionId, hour = time.trunc('day', p_event_time)
| visualize line title="Alert count by detectionId per day"
평균 탐지 시간(Mean Time to Detection)을 측정한 막대 차트
아래 쿼리는 이벤트가 수집된 시점과 탐지가 트리거된 시점 사이의 평균 시간을 표시하며,

에 대해 가장 느린 15개 규칙을 보여줍니다. `series`

PantherFlow 함수

| where p_event_time >= time.ago(7d) and ingestTimeToDetectionSeconds != null

값으로 취급해야 하는지에 대해 가정합니다.  
  | summarize mean = agg.avg(ingestTimeToDetectionSeconds) by detectionId
  | sort mean desc
  | limit 15
  | visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='Mean Time to Detect'
  다음을 사용한 막대 차트
  예제 데이터:
  { "actionName": "SIGN_IN", "events": 12 , "user": "alice"},
  { "actionName": "SIGN_IN", "events": 7 , "user": "bob"},
  { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 2, "user": "alice"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 3, "user": "chris"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 5, "user": "emily"},
];

{ "actionName": "CREATE_USER", "events": 4 },
{ "actionName": "CREATE_USER", "events": 1, "user": "alice" },

Under an actionName vs events header is a bar chart. There are four vertical columns, and each column in separated into three colors.

{ "actionName": "CREATE_USER", "events": 4 , "user": "frankie"},

시간별 액션 수를 측정한 선형 차트 아래 쿼리는 지난 이틀 동안의 시간별 Panther 감사 로그 { "actionName": "CREATE_USER", "events": 3 , "user": "ross"}, 에 대해 별도의 차트 선이 추가됩니다.

{ "actionName": "CREATE_RULE", "events": 12, "user": "betsy" },
{ "actionName": "CREATE_RULE", "events": 6, "user": "bob" },
{ "actionName": "CREATE_RULE", "events": 6, "user": "casey" }
| visualize bar series=user
도시 및 국가별 로그인 수를 표시한 막대 차트
okta_systemlog
panther_logs.public.okta_systemlog
| where eventType == 'user.session.start' and p_event_time > time.ago(90d)

A bar char is shown, titled "Logins by city, country." There are four bars, labeled Atlanta, Maplewood, Athens, and Thessaloniki.

| extend country = client.geographicalContext.country, city = client.geographicalContext.city `예시` my_table

PantherFlow 함수

| where p_event_time >= time.ago(7d) and ingestTimeToDetectionSeconds != null

값으로 취급해야 하는지에 대해 가정합니다.  
  | summarize mean = agg.avg(ingestTimeToDetectionSeconds) by detectionId
  | sort mean desc
  | limit 15
  | visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='Mean Time to Detect'
  다음을 사용한 막대 차트
  예제 데이터:
  { "actionName": "SIGN_IN", "events": 12 , "user": "alice"},
  { "actionName": "SIGN_IN", "events": 7 , "user": "bob"},
  { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 2, "user": "alice"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 3, "user": "chris"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 5, "user": "emily"},
];

{ "actionName": "CREATE_USER", "events": 4 },
| summarize events = agg.count() by country, city

Under an "Actions by user" title is a table with three columns, labeled actionName, events, and user.

Previous유니온 연산자 NextWhere 연산자

Last updated 6 months ago

Was this helpful?

hashtag개요

hashtag제한 사항

hashtag막대 차트에서 열은 알파벳 순으로 정렬되며 재배열할 수 없습니다.

hashtag에 추가하려는 경우 유용할 수 있습니다.

hashtag이 기능은 규칙이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알림 요약은 각 이벤트를 수동으로 검토하지 않고도 모든 일치 이벤트의 개요를 제공합니다.

hashtag{ "actionName": "CREATE_ALERT_DESTINATION", "events": 2 },

hashtag기본 막대 차트 horizontal, title="My Chart" 및 예시 my_table

hashtag기본 막대 차트 agg.count()

hashtagpanther_audit 예시 my_table

hashtag{ "p_event_time": time.parse_timestamp("2024-08-10 00:00:00"), "events": 50 },

hashtagpanther_logs.public.panther_audit

hashtagpanther_signals

hashtag에 대해 가장 느린 15개 규칙을 보여줍니다. series

hashtag{ "actionName": "CREATE_USER", "events": 4 , "user": "frankie"},

hashtag| extend country = client.geographicalContext.country, city = client.geographicalContext.city 예시 my_table

개요

제한 사항

막대 차트에서 열은 알파벳 순으로 정렬되며 재배열할 수 없습니다.

에 추가하려는 경우 유용할 수 있습니다.

이 기능은 규칙이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알림 요약은 각 이벤트를 수동으로 검토하지 않고도 모든 일치 이벤트의 개요를 제공합니다.

{ "actionName": "CREATE_ALERT_DESTINATION", "events": 2 },

기본 막대 차트 `horizontal`, `title="My Chart"` 및 `예시` my_table

기본 막대 차트 `agg.count()`

panther_audit `예시` my_table

{ "p_event_time": time.parse_timestamp("2024-08-10 00:00:00"), "events": 50 },

panther_logs.public.panther_audit

panther_signals

에 대해 가장 느린 15개 규칙을 보여줍니다. `series`

{ "actionName": "CREATE_USER", "events": 4 , "user": "frankie"},

| extend country = client.geographicalContext.country, city = client.geographicalContext.city `예시` my_table