Définitions des codes temporels

Compatible avec:

Ce document explique les codes temporels courants pour les événements et les détections. Pour en savoir plus sur les codes temporels, consultez la section Fonction Date.

Les codes temporels suivants sont associés à des événements:

  • Code temporel de l'événement: heure à laquelle un événement s'est produit et stockée dans le champ UDM metadata.event_timestamp. Les règles et les recherches UDM utilisent le champ metadata.event_timestamp pour les requêtes.
  • Code temporel collecté: heure à laquelle un événement a été collecté par l'infrastructure de collecte locale, telle que le forwarder. Il est stocké dans le champ UDM metadata.collected_timestamp.
  • Horodatage d'ingestion: heure à laquelle un événement a été ingéré par Google Security Operations. Il est stocké dans le champ UDM metadata.ingested_timestamp.

Les codes temporels suivants sont stockés avec les détections:

  • Période de détection: pour les règles comportant une section match, une détection est créée sur la période, appelée période de détection. Les codes temporels des événements ayant déclenché la détection se trouvent dans la période de détection.
  • Code temporel de détection: pour les règles avec une section match, le code temporel de détection correspond à l'heure de fin de la période de détection. Sinon, le code temporel de détection correspond à l'metadata.event_timestamp de l'événement ayant généré la détection.
  • Code temporel de création de la détection: date et heure de création de la détection par le moteur de détection.

Emplacement des codes temporels dans l'application

Les sections suivantes indiquent où vous pouvez afficher ces codes temporels dans l'interface utilisateur.

Visionneuse d'événements UDM

Pour ouvrir la vue Événement UDM, procédez comme suit:

  1. Effectuez une recherche UDM.
  2. Dans l'onglet Événements, sélectionnez un événement pour ouvrir le Visionneuse d'événements.

  3. Le volet Événement UDM affiche les données suivantes:

    • Le code temporel de l'événement est stocké dans le champ UDM metadata.event_timestamp (1).
    • L'horodatage de l'ingestion est stocké dans le champ UDM metadata.ingested_timestamp (2).

    Vue des événements UDM

Panneau "Détections"

Pour ouvrir la vue Détections, procédez comme suit:

  1. Accédez à Detections (Détections) > Rules & Detections (Règles et détections), puis cliquez sur le bouton Dashboard (Tableau de bord).

  2. Cliquez sur le lien du nom de la règle sous la colonne Nom de la règle. Le panneau Detections (Détections) s'affiche et affiche les informations suivantes:

    • Le code temporel de la détection s'affiche dans les lignes qui identifient une détection (1).
    • Le code temporel de l'événement s'affiche dans les lignes qui identifient les événements (2).

    Vue "Détections"

Vue Alertes

Pour ouvrir la vue Alerte, procédez comme suit:

  1. Ouvrez Détections > Alertes et IOC.
  2. Dans l'onglet Alertes, cliquez sur le lien du nom de l'alerte dans la colonne Nom.

  3. Cliquez sur l'onglet Aperçu pour afficher les éléments suivants:

    • L'horodatage de création de l'alerte (ou de la détection) s'affiche dans le volet Détails de l'alerte > champ Créé (1).
    • La période de détection s'affiche dans le volet Résumé de la détection > champ Période de détection (2).
    • Le code temporel de détection s'affiche dans le volet Résumé de la détection > champ Alertes détectées à (3).

    Vue "Alertes"

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.