タイムスタンプ定義

このドキュメントでは、イベントと検出の一般的なタイムスタンプについて説明します。 タイムスタンプの詳細については、日付関数をご覧ください。

イベントに関連するタイムスタンプは次のとおりです。

• イベントのタイムスタンプ: イベントが発生した時刻。metadata.event_timestamp UDM フィールドに保存されます。ルールと UDM 検索では、クエリに metadata.event_timestamp フィールドが使用されます。
• 収集タイムスタンプ: ローカルの収集インフラストラクチャ（フォワーダーなど）によってイベントが収集された時刻。metadata.collected_timestamp UDM フィールドに保存されます。
• 取り込みタイムスタンプ: Google Security Operations によってイベントが取り込まれた時刻。metadata.ingested_timestamp UDM フィールドに保存されます。

検出で保存されるタイムスタンプは次のとおりです。

• 検出ウィンドウ: match セクションがあるルールの場合、検出は検出ウィンドウと呼ばれる期間に対して作成されます。検出をトリガーしたイベントのイベント タイムスタンプが検出ウィンドウ内にある。
• 検出タイムスタンプ: match セクションがあるルールの場合、検出タイムスタンプは検出ウィンドウの終了時間です。それ以外の場合、検出タイムスタンプは検出が生成されたイベントの metadata.event_timestamp です。
• 検出作成タイムスタンプ: 検出エンジンで検出が作成された日時。

タイムスタンプがアプリのどこに表示されるか

以降のセクションでは、UI でこれらのタイムスタンプを表示できる場所について説明します。

UDM イベント ビューア

[UDM イベント] ビューを開くには、次の操作を行います。

1. UDM 検索を実行します。
2. [イベント] タブでイベントを選択し、イベント ビューアを開きます。

3. [UDM イベント] ペインには、次の情報が表示されます。

   • イベント タイムスタンプは metadata.event_timestamp UDM フィールドに保存されます（1）。
   • 取り込みタイムスタンプは metadata.ingested_timestamp UDM フィールドに保存されます（2）。

   

[検出] パネル

[検出] ビューを開くには、次の操作を行います。

1. [検出] > [ルールと検出] を開き、[ダッシュボード] ボタンをクリックします。

2. [ルール名] 列のルール名リンクをクリックします。[検出] パネルが開き、次の情報が表示されます。

   • 検出タイムスタンプは、検出を識別する行に表示されます（1）。
   • イベント タイムスタンプは、イベントを識別する行に表示されます（2）。

   

アラートビュー

[アラート] ビューを開くには、次の手順を行います。

1. [検出] > [アラートと IOC] を開きます。
2. [アラート] タブで、[名前] 列のアラート名リンクをクリックします。

3. [概要] タブをクリックすると、次のように表示されます。

   • アラート（または検出）作成タイムスタンプが [アラートの詳細] ペイン > [作成] フィールドに表示されます（1）。
   • 検出ウィンドウが [検出の概要] ペイン > [検出ウィンドウ] フィールドに表示されます（2）。
   • 検出タイムスタンプが [検出の概要] ペイン > [アラート検出時刻] フィールド（3）に表示されます。