Definições de carimbo de data/hora

Compatível com:

Este documento explica os carimbos de data/hora comuns para eventos e detecções. Para mais informações sobre carimbos de data/hora, consulte Função de data.

Os seguintes carimbos de data/hora estão relacionados a eventos:

  • Carimbo de data/hora do evento: horário em que um evento ocorreu e foi armazenado no campo metadata.event_timestamp da UDM. As regras e as pesquisas de UDM usam o campo metadata.event_timestamp para consultas.
  • Carimbo de data/hora coletado: horário em que um evento foi coletado pela coleção local. infraestrutura, como o encaminhador. Isso é armazenado no campo metadata.collected_timestamp do UDM.
  • Carimbo de data/hora de ingestão: o horário em que um evento foi processado pelo Google Security Operations. Isso é armazenado no campo UDM metadata.ingested_timestamp.

Os seguintes carimbos de data/hora são armazenados com detecções:

  • Janela de detecção: para regras com uma seção match, uma detecção é criada no intervalo de tempo, chamado janela de detecção. Os carimbos de data/hora dos eventos que acionaram a detecção estão dentro da janela de detecção.
  • Carimbo de data/hora da detecção: para regras com uma seção match, o valor o carimbo de data/hora é o horário de término da janela de detecção. Caso contrário, a detecção carimbo de data/hora é o metadata.event_timestamp do evento que gerou o detecção de ameaças.
  • Carimbo de data/hora da criação da detecção: data e hora em que a detecção foi criada. mecanismo de detecção de ameaças.

Onde os carimbos de data/hora aparecem no aplicativo

As seções abaixo definem onde é possível conferir esses carimbos de data/hora na UI.

Visualizador de eventos de UDM

Para abrir a visualização Evento de UDM, faça o seguinte:

  1. Faça uma pesquisa do UDM.
  2. Na guia Eventos, selecione um evento para abrir o Visualizador de eventos.

  3. O painel Evento do UDM mostra os seguintes dados:

    • O carimbo de data/hora do evento é armazenado no campo UDM metadata.event_timestamp (1).
    • O carimbo de data/hora processado é armazenado no campo metadata.ingested_timestamp do UDM (2).

    Visualização "Evento" de UDM

Painel de detecções

Para abrir a visualização Detections, faça o seguinte:

  1. Abra Detections > Rules & Detections e clique no botão Dashboard.

  2. Clique no link do nome da regra na coluna Nome da regra. O painel Detecções é exibido e mostra o seguinte:

    • O carimbo de data/hora da detecção aparece nas linhas que identificam uma detecção (1).
    • O carimbo de data/hora do evento aparece em linhas que identificam eventos (2).

    Visualização de detecções

Visualização de alerta

Para abrir a visualização Alert, faça o seguinte:

  1. Abra Detecções > Alertas e IOCs (em inglês).
  2. Na guia Alertas, clique no link do nome do alerta na coluna Nome.

  3. Clique na guia Visão geral para exibir o seguinte:

    • O carimbo de data/hora de criação do alerta (ou da detecção) aparece no painel Alert Details > campo Created (1).
    • A janela de detecção aparece no painel Resumo da detecção > campo Janela de detecção (2).
    • O carimbo de data/hora da detecção aparece no painel Resumo da detecção > Alertas detectados no campo (3).

    Visualização de alerta