# Visualize 연산자 ## 개요 {% hint style="info" %} 키는 이 파생 디텍션과 그 베이스 디텍션 간의 연결이며, 상속이 적용되어야 함을 나타냅니다. `시각화` 연산자는 Panther 버전 1.110부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 다음을 특히 유의하시고 [제한 사항(Limitations)](#limitations) 아래에 나열된 항목을 확인하고 모든 버그 보고 및 기능 요청을 Panther 지원팀과 공유하십시오. {% endhint %} 연산자를 사용하여 `시각화` 연산자를 사용하여 쿼리 결과의 막대, 선, 파이 차트 또는 표를 생성합니다. ```kusto | visualize =[, ...] ``` 다음을 사용하여 `시각화` 두 개의 필드가 있고 그 중 적어도 하나가 숫자형인 결과 집합과 함께 사용할 수 있습니다. 특히 `시각화` 와 함께 [`summarize`](https://docs.panther.com/ko/pantherflow/operators/summarize) 및 [`agg.count()`](https://docs.panther.com/ko/functions/aggregation#agg.count)와 같은 집계가 유용합니다. `시각화` 연산자는 PantherFlow 쿼리에서 마지막에 사용되어야 하며 데이터를 필터링하거나 변환하지 않습니다. {% hint style="info" %} 시각화를 생성한 후에는 이를 [사용자 지정 대시보드](https://docs.panther.com/ko/search/visualization-and-dashboards/custom). {% endhint %} 기본적으로 `시각화` 은 세로 막대 차트를 표시하지만, `line`, `bar`, `pie`정책(policy) `table` 을 사용하여 유형을 설정할 수 있습니다. 지원되는 [주석을 사용하여 시각화를 추가로 사용자화하십시오.](#supported-annotations). ### 제한 사항(Limitations) * 차트(`line`, `bar`, 및 `pie` 시각화)에서는 `series=` 를 선언할 때 잘못된 열이 선택될 수 있지만 `xcolumn=`는 선택되지 않았거나 그 반대의 경우가 생길 수 있습니다 (`xcolumn=` 하지만 `series`) * 세로 막대 차트를 수평(왼쪽/오른쪽)으로 이동하려면 세로로(위/아래) 스크롤해야 합니다. * 최대 999개의 데이터 포인트를 시각화할 수 있습니다. * 데이터는 정렬된 순서로 표시됩니다. 시계열 데이터의 경우 그래프에 시간 순서로 표시하려면 데이터를 시간으로 정렬해야 합니다. * 막대 차트에서는 열이 알파벳 순으로 정렬되며 재배열할 수 없습니다. ## 지원되는 시각화 유형 * `bar` (기본값): 범주형 데이터는 직사각형 막대로 표시됩니다. * `line`: 일반적으로 시간에 따른 추세를 보여주는 데 사용되며, 데이터 포인트는 직선으로 연결됩니다. * 를 생성하려면 `line` x축에 표시되는 필드가 날짜/시간 데이터 유형이어야 합니다. * `pie`: 데이터를 원형 차트의 조각으로 표시하며 전체에 대한 비율이나 부분을 보여주는 데 유용합니다. * 이 차트 유형은 범주형 데이터에 대해 카테고리별 상대적 크기나 백분율 분포를 시각화할 때 사용하십시오. * `table`: 데이터가 표 형식으로 표시됩니다. * 이는 이미 [검색](https://docs.panther.com/ko/search/search-tool)에 표시된 결과 테이블과 유사하지만 `table` 을 사용하면 표 형식의 데이터를 [사용자 지정 대시보드](https://docs.panther.com/ko/search/visualization-and-dashboards/custom). ## 에 추가하려는 경우 유용할 수 있습니다. 지원되는 주석 `시각화` 시각화를 사용자화하려면 ```kusto 와 함께 주석을 사용하십시오. 여러 주석은 쉼표로 구분합니다(예:) ``` {% hint style="info" %} \| visualize bar legend=left, orientation=horizontal, title="My Chart"`bar`, `line`정책(policy) `pie`). {% endhint %}
아래의 주석을 사용하려면 쿼리에서 시각화 유형을 명시적으로 설정해야 합니다 (Description지원되는 시각화 유형주석예시
지원되는 값title 차트의 제목입니다. 제공되지 않으면 기본값은<x축 필드 이름> vs <y축 필드 이름>bar, line, pie, table입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.<문자열>
title="My Chart"orientation 차트의 방향입니다. 만약, xcolumn정책(policy) series ycolumn title="My Chart".bar이 설정되어 있으면 이들이 보다 우선할 수 있습니다.
vertical		(기본값)
horizontal

orientation=horizontal legend 차트 범례의 존재 및 위치입니다.

기본값은 hidden 단일 시리즈 데이터의 경우 및

bottom legend.

bar, line, pielegend 다중 시리즈 데이터의 경우입니다.
범례를 숨기려면 (단일 시리즈 데이터의 기본값)을 사용하십시오. hidden)
visible
hidden (기본값은
top
다중 시리즈 데이터의 기본값)		left
차트의 방향입니다. 만약rightbar, line입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.legend=right
xcolumnx축에 표시되어야 하는 필드의 이름입니다. (이것은 x축의 레이블이 아닙니다.)bar, line입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.xcolumn=mean
series

y축에 표시되어야 하는 필드의 이름입니다. (이것은 y축의 레이블이 아닙니다.)

  • ycolumn=detectionId line 데이터를 그룹화하는 데 사용되어야 하는 필드의 이름입니다.

    차트는 다음과 같을 수 있습니다: bar 단일 시리즈: 선형 차트의 경우 단일 선으로 표시되며
  • 차트의 경우 단일 색상으로 구성된 막대로 표시됩니다. line 다중 시리즈: 선형 차트의 경우 서로 다른 색상의 여러 선으로 표시되며 bar 단일 시리즈: 선형 차트의 경우 단일 선으로 표시되며

차트의 경우 여러 색상으로 구성된 막대로 표시됩니다. series 가 제공되지 않으면 PantherFlow는 어떤 필드를 series 값으로 처리할지 가정합니다.

bar, line입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.series=email
## 예시 {% hint style="info" %} 예시 데이터 ```kusto let my_table = datatable [ { "actionName": "SIGN_IN", "events": 12 }, { "actionName": "CREATE_ALERT_DESTINATION", "events": 2 }, { "actionName": "CREATE_USER", "events": 4 }, { "actionName": "CREATE_RULE", "events": 10 } ]; ``` {% endhint %} ### 기본 막대 차트 ```kusto my_table | visualize ```
A table with the title "actionName vs events" is shown, with four vertical columns.
### 다음이 설정된 막대 차트 `horizontal`, `title="My Chart"`, 및 `지원되는 값` set ```kusto my_table 와 함께 주석을 사용하십시오. 여러 주석은 쉼표로 구분합니다(예:) ```
A table titled "My Chart" with four horizontal columns are shown.
### 다음이 설정된 막대 차트 `agg.count()` 이 예시는 실제 데이터 세트처럼 두 개 이상의 필드를 가진 샘플 데이터를 사용합니다. 쿼리는 `summarize events = agg.count() by actionName` 를 사용하여 두 개의 필드(`actionName` 및 `events`)를 가진 결과 집합을 생성한 다음 `시각화` 가 사용됩니다. 집계에 대해 자세히 알아보려면 [PantherFlow Functions](https://docs.panther.com/ko/functions#aggregations) 및 `summarize` 의 [Summarize Operator](https://docs.panther.com/ko/pantherflow/operators/summarize). 에서 확인하십시오. {% hint style="info" %} 예시 데이터 ```kusto 이 쿼리는 고유한 예시 데이터를 가집니다: let panther_audit = datatable [ { "actionName": "SIGN_IN", "id": "222ef2375b1bf394f687ea842065", "p_event_time": time.parse_timestamp("2024-11-14 00:00:00") }, { "actionName": "CREATE_ALERT_DESTINATION", "id": "320a3b11b854c5ceebb2d08420d99d09", "p_event_time": time.parse_timestamp("2024-10-16 00:00:00") }, { "actionName": "CREATE_ALERT_DESTINATION", "id": "86a6c88c5b39ede087d3e98420e022", "p_event_time": time.parse_timestamp("2024-11-04 00:00:00") }, { "actionName": "CREATE_USER", "id": "5a0cbd047f5bf380c281d68420bec709", "p_event_time": time.parse_timestamp("2024-11-12 00:00:00") }, { "actionName": "CREATE_USER", "id": "4b0d0f487a2ae459c3976f8420d1a810", "p_event_time": time.parse_timestamp("2024-11-11 00:00:00") }, { "actionName": "CREATE_USER", "id": "7c1e1a59f6bcf4b6d5b83f8420baf911", "p_event_time": time.parse_timestamp("2024-10-27 00:00:00") }, { "actionName": "CREATE_USER", "id": "9d2f2b60a7cdb58ff6a96f8420fa0b12", "p_event_time": time.parse_timestamp("2024-11-09 00:00:00") }, { "actionName": "CREATE_RULE", "id": "1e3f3c7189eec6c1e8ca7f8420e3c213", "p_event_time": time.parse_timestamp("2024-11-13 00:00:00") }, { "actionName": "CREATE_RULE", "id": "2f404d82aa1fe7d3f9d58f8420e5d314", "p_event_time": time.parse_timestamp("2024-10-31 00:00:00") }, ]; ``` {% endhint %} ```kusto { "actionName": "CREATE_RULE", "id": "603f5e93bb20f8e509e79f8420e7e415", "p_event_time": time.parse_timestamp("2024-11-03 00:00:00") } panther_audit | summarize events = agg.count() by actionName | sort actionName desc | visualize ```
A table titled "actionName vs events" is shown with four vertical columns.
### | limit 4 `지원되는 값` set 에서 확인하십시오. {% hint style="info" %} 예시 데이터 ```kusto let my_table = datatable [ 선형 차트 (다음 데이터 사용) { "p_event_time": time.parse_timestamp("2024-08-14 00:00:00"), "events": 120 }, { "p_event_time": time.parse_timestamp("2024-08-13 00:00:00"), "events": 20 }, { "p_event_time": time.parse_timestamp("2024-08-12 00:00:00"), "events": 150 }, { "p_event_time": time.parse_timestamp("2024-08-11 00:00:00"), "events": 200 }, { "p_event_time": time.parse_timestamp("2024-08-10 00:00:00"), "events": 50 }, { "p_event_time": time.parse_timestamp("2024-08-09 00:00:00"), "events": 80 }, ]; ``` {% endhint %} ```kusto my_table { "p_event_time": time.parse_timestamp("2024-08-08 00:00:00"), "events": 10 } ```
A line chart titled "Last week's events" is shown, with seven data points.
### | visualize line title="지난 주의 이벤트" 시간별 액션 수를 측정한 선형 차트 [아래 쿼리는](https://docs.panther.com/ko/data-onboarding/supported-logs/panther-audit-logs) Panther 감사 로그 `actionName`. {% hint style="info" %} 지난 이틀 동안 시간별 액션 수를 표시하며 데이터를 시간 단위로 버킷화합니다. 각 `에 대해 별도의 차트 선이 추가됩니다.` 이 페이지의 다른 예시 쿼리들은 `datatable` 을 사용해 모의 데이터를 제공하지만, 아래 쿼리는 귀하의 실시간 데이터에서 가져옵니다. {% endhint %} ```kusto panther_logs 데이터베이스에서. panther_logs.public.panther_audit | where p_event_time >= time.ago(2d) | summarize count = agg.count() by actionName, hour = time.trunc('hour', p_event_time) ```
### | sort hour asc \| visualize line legend=bottom, title='시간별 액션 수' `detectionId별 일일 경보 수를 측정한 선형 차트` 아래 쿼리는 지난 2주 동안 {% hint style="info" %} 지난 이틀 동안 시간별 액션 수를 표시하며 데이터를 시간 단위로 버킷화합니다. 각 `에 대해 별도의 차트 선이 추가됩니다.` 이 페이지의 다른 예시 쿼리들은 `데이터베이스` 을 사용해 모의 데이터를 제공하지만, 아래 쿼리는 귀하의 실시간 데이터에서 가져옵니다. {% endhint %} ```kusto detectionId 별 일일 경보 수를 표시합니다. panther_signals.public.signal_alerts | where p_event_time >= time.ago(2d) | where p_event_time >= time.ago(14d) ```
### | summarize count = agg.count() by detectionId, hour = time.trunc('day', p\_event\_time) \| visualize line title="일별 detectionId별 경보 수" `detectionId별 일일 경보 수를 측정한 선형 차트`. {% hint style="info" %} 지난 이틀 동안 시간별 액션 수를 표시하며 데이터를 시간 단위로 버킷화합니다. 각 `에 대해 별도의 차트 선이 추가됩니다.` 이 페이지의 다른 예시 쿼리들은 `데이터베이스` 을 사용해 모의 데이터를 제공하지만, 아래 쿼리는 귀하의 실시간 데이터에서 가져옵니다. {% endhint %} ```kusto detectionId 평균 탐지 시간(Mean Time to Detect)을 측정한 막대 차트 아래 쿼리는 이벤트가 수집된 시점과 탐지가 트리거된 시점 사이의 평균 시간을 표시하며, 탐지Id별로 가장 느린 15개의 룰에 대한 값을 보여줍니다. | where p_event_time >= time.ago(7d) and ingestTimeToDetectionSeconds != null | summarize mean = agg.avg(ingestTimeToDetectionSeconds) by detectionId | sort mean desc ```
### | limit 15 `series` 에서 확인하십시오. {% hint style="info" %} \| visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='탐지까지 평균 시간' ```kusto let my_table = datatable [ 다음을 사용한 막대 차트 예시 데이터: { "actionName": "SIGN_IN", "events": 12 , "user": "alice"}, { "actionName": "SIGN_IN", "events": 7 , "user": "bob"}, { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"}, { "actionName": "CREATE_ALERT_DESTINATION", "events": 2, "user": "alice"}, { "actionName": "CREATE_ALERT_DESTINATION", "events": 3, "user": "chris"}, { "actionName": "CREATE_ALERT_DESTINATION", "events": 5, "user": "emily"}, { "actionName": "CREATE_USER", "events": 1, "user": "alice" }, { "actionName": "CREATE_USER", "events": 4 , "user": "frankie"}, { "actionName": "CREATE_USER", "events": 3 , "user": "ross"}, { "actionName": "CREATE_RULE", "events": 12, "user": "betsy" }, ]; ``` {% endhint %} ```kusto my_table { "actionName": "CREATE_RULE", "events": 6, "user": "bob" }, ```
Under an actionName vs events header is a bar chart. There are four vertical columns, and each column in separated into three colors.
### { "actionName": "CREATE\_RULE", "events": 6, "user": "casey" } {% hint style="info" %} 지난 이틀 동안 시간별 액션 수를 표시하며 데이터를 시간 단위로 버킷화합니다. 각 `에 대해 별도의 차트 선이 추가됩니다.` 이 페이지의 다른 예시 쿼리들은 `| visualize bar series=user` 을 사용해 모의 데이터를 제공하지만, 아래 쿼리는 귀하의 실시간 데이터에서 가져옵니다. {% endhint %} ```kusto 도시, 국가별 로그인 수를 표시한 막대 차트 okta_systemlog panther_logs.public.okta_systemlog | where eventType == 'user.session.start' and p_event_time > time.ago(90d) | extend country = client.geographicalContext.country, city = client.geographicalContext.city | summarize events = agg.count() by country, city | project country, events, city | sort events desc ```
A bar char is shown, titled "Logins by city, country." There are four bars, labeled Atlanta, Maplewood, Athens, and Thessaloniki.
### | limit 10 \| visualize bar orientation=horizontal,title='도시, 국가별 로그인 수' {% hint style="info" %} 예시 데이터 ```kusto let my_table = datatable [ { "actionName": "SIGN_IN", "events": 12 }, { "actionName": "CREATE_ALERT_DESTINATION", "events": 2 }, { "actionName": "CREATE_USER", "events": 4 }, { "actionName": "CREATE_RULE", "events": 10 } ]; ``` {% endhint %} ```kusto my_table 비율 데이터로 된 파이 차트 시각화 ```
### 이 예시는 서로 다른 액션 유형의 분포를 비율 데이터로 표시합니다: \| visualize pie title="액션 분포" ```kusto panther_logs 집계된 데이터로 만든 파이 차트 panther_audit | summarize events = agg.count() by country, city 아래 쿼리는 지난 주 동안의 Panther 감사 액션을 유형별로 분포를 표시합니다: | where p_event_time >= time.ago(7d) ```
### | limit 8 `지원되는 값` set 에서 확인하십시오. {% hint style="info" %} \| visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='탐지까지 평균 시간' ```kusto let my_table = datatable [ 다음을 사용한 막대 차트 예시 데이터: { "actionName": "SIGN_IN", "events": 12 , "user": "alice"}, { "actionName": "SIGN_IN", "events": 7 , "user": "bob"}, { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"}, { "actionName": "CREATE_ALERT_DESTINATION", "events": 2, "user": "alice"}, { "actionName": "CREATE_ALERT_DESTINATION", "events": 3, "user": "chris"}, { "actionName": "CREATE_ALERT_DESTINATION", "events": 5, "user": "emily"}, { "actionName": "CREATE_USER", "events": 1, "user": "alice" }, { "actionName": "CREATE_USER", "events": 4 , "user": "frankie"}, { "actionName": "CREATE_USER", "events": 3 , "user": "ross"}, { "actionName": "CREATE_RULE", "events": 12, "user": "betsy" }, ]; ``` {% endhint %} ```kusto my_table | visualize pie title="액션 유형 분포 (지난 7일)"다음과 같이" ```
Under an "Actions by user" title is a table with three columns, labeled actionName, events, and user.