Definições de carimbo de data/hora
Este documento explica os carimbos de data/hora comuns para eventos e detecções. Para mais informações sobre carimbos de data/hora, consulte Função de data.
Os seguintes carimbos de data/hora estão relacionados a eventos:
- Carimbo de data/hora do evento: horário em que um evento ocorreu e foi armazenado no campo
metadata.event_timestamp
da UDM. As regras e as pesquisas de UDM usam o campometadata.event_timestamp
para consultas. - Carimbo de data/hora coletado: horário em que um evento foi coletado pela coleção local.
infraestrutura, como o encaminhador. Isso é armazenado no campo
metadata.collected_timestamp
do UDM. - Carimbo de data/hora de ingestão: o horário em que um evento foi processado pelo Google Security Operations.
Isso é armazenado no campo UDM
metadata.ingested_timestamp
.
Os seguintes carimbos de data/hora são armazenados com detecções:
- Janela de detecção: para regras com uma seção
match
, uma detecção é criada no intervalo de tempo, chamado janela de detecção. Os carimbos de data/hora dos eventos que acionaram a detecção estão dentro da janela de detecção. - Carimbo de data/hora da detecção: para regras com uma seção
match
, o valor o carimbo de data/hora é o horário de término da janela de detecção. Caso contrário, a detecção carimbo de data/hora é ometadata.event_timestamp
do evento que gerou o detecção de ameaças. - Carimbo de data/hora da criação da detecção: data e hora em que a detecção foi criada. mecanismo de detecção de ameaças.
Onde os carimbos de data/hora aparecem no aplicativo
As seções abaixo definem onde é possível conferir esses carimbos de data/hora na UI.
Visualizador de eventos de UDM
Para abrir a visualização Evento de UDM, faça o seguinte:
- Faça uma pesquisa do UDM.
- Na guia Eventos, selecione um evento para abrir o Visualizador de eventos.
O painel Evento do UDM mostra os seguintes dados:
- O carimbo de data/hora do evento é armazenado no campo UDM
metadata.event_timestamp
(1). - O carimbo de data/hora processado é armazenado no campo
metadata.ingested_timestamp
do UDM (2).
- O carimbo de data/hora do evento é armazenado no campo UDM
Painel de detecções
Para abrir a visualização Detections, faça o seguinte:
- Abra Detections > Rules & Detections e clique no botão Dashboard.
Clique no link do nome da regra na coluna Nome da regra. O painel Detecções é exibido e mostra o seguinte:
- O carimbo de data/hora da detecção aparece nas linhas que identificam uma detecção (1).
- O carimbo de data/hora do evento aparece em linhas que identificam eventos (2).
Visualização de alerta
Para abrir a visualização Alert, faça o seguinte:
- Abra Detecções > Alertas e IOCs (em inglês).
- Na guia Alertas, clique no link do nome do alerta na coluna Nome.
Clique na guia Visão geral para exibir o seguinte:
- O carimbo de data/hora de criação do alerta (ou da detecção) aparece no painel Alert Details > campo Created (1).
- A janela de detecção aparece no painel Resumo da detecção > campo Janela de detecção (2).
- O carimbo de data/hora da detecção aparece no painel Resumo da detecção > Alertas detectados no campo (3).