Definizioni dei timestamp

Supportato in:

Questo documento illustra i timestamp più comuni per eventi e rilevamenti. Per ulteriori informazioni sui timestamp, consulta la funzione Data.

I seguenti timestamp sono relativi agli eventi:

  • Timestamp evento: l'ora in cui si è verificato un evento e che è archiviato nel metadata.event_timestamp campo UDM. Le regole e le ricerche UDM utilizzano il campo metadata.event_timestamp per le query.
  • Timestamp raccolto: ora in cui un evento è stato raccolto dall'infrastruttura di raccolta locale, ad esempio il forwarder. Viene archiviato nel campo UDM metadata.collected_timestamp.
  • Timestamp importato: ora in cui un evento è stato importato da Google Security Operations. Questo valore viene archiviato nel campo UDM metadata.ingested_timestamp.

I seguenti timestamp vengono archiviati con i rilevamenti:

  • Finestra di rilevamento: per le regole con una sezione match, viene creato un rilevamento nell'intervallo di tempo, la finestra di rilevamento. I timestamp degli eventi che hanno attivato il rilevamento rientrano nella finestra di rilevamento.
  • Timestamp del rilevamento: per le regole con una sezione match, il valore il timestamp indica l'ora di fine della finestra di rilevamento. In caso contrario, il timestamp del rilevamento è il metadata.event_timestamp dell'evento che ha generato il rilevamento.
  • Timestamp di creazione del rilevamento: data e ora in cui il rilevamento è stato creato dal motore di rilevamento.

Dove vengono visualizzati i timestamp nell'applicazione

Le sezioni seguenti definiscono dove puoi visualizzare questi timestamp nella UI.

Visualizzatore eventi UDM

Per aprire la visualizzazione Evento UDM:

  1. Esegui una ricerca UDM.
  2. Nella scheda Eventi, seleziona un evento per aprire il Visualizzatore evento

  3. Il riquadro Evento UDM mostra i seguenti dati:

    • Il timestamp dell'evento viene memorizzato nel campo UDM metadata.event_timestamp (1).
    • Il timestamp importato viene memorizzato nel campo UDM metadata.ingested_timestamp (2).

    Visualizzazione evento UDM

Riquadro Rilevamento

Per aprire la vista Rilevamenti, procedi nel seguente modo:

  1. Apri Rilevamento > Regole e rilevamenti e poi fai clic sul pulsante Dashboard.

  2. Fai clic sul link al nome della regola nella colonna Nome regola. Viene visualizzato il riquadro Rilevamenti, che include le seguenti informazioni:

    • Il timestamp del rilevamento viene visualizzato nelle righe che identificano un rilevamento (1).
    • Il timestamp dell'evento viene visualizzato nelle righe che identificano gli eventi (2).

    Visualizzazione dei rilevamenti

Visualizzazione Avviso

Per aprire la visualizzazione Avviso:

  1. Apri Rilevamento > Avvisi e IOC.
  2. Nella scheda Avvisi, fai clic sul link con il nome dell'avviso nella colonna Nome.

  3. Fai clic sulla scheda Panoramica per visualizzare quanto segue:

    • Il timestamp di creazione dell'avviso (o rilevamento) viene visualizzato nel riquadro Dettagli avviso > Campo creato (1).
    • La finestra di rilevamento viene visualizzata nel riquadro Riepilogo rilevamento > campo Finestra di rilevamento (2).
    • Il timestamp del rilevamento visualizzato si trova nel riquadro Riepilogo del rilevamento > Avvisi rilevati nel campo (3).

    Visualizzazione Avviso