Definitionen für Zeitstempel

Unterstützt in:

In diesem Dokument werden gängige Zeitstempel für Ereignisse und Erkennungen erläutert. Weitere Informationen zu Zeitstempeln finden Sie unter Datumsfunktion.

Die folgenden Zeitstempel beziehen sich auf Ereignisse:

  • Ereigniszeitstempel: Die Zeit, zu der ein Ereignis aufgetreten ist. Sie wird im UDM-Feld metadata.event_timestamp gespeichert. Für Regeln und UDM-Suchanfragen wird das Feld metadata.event_timestamp verwendet.
  • Zeitstempel der Erfassung: Zeitpunkt, zu dem ein Ereignis von der lokalen Erfassungsinfrastruktur erfasst wurde, z. B. vom Forwarder. Dieser Wert wird im UDM-Feld metadata.collected_timestamp gespeichert.
  • Aufnahmezeitstempel: Zeitpunkt, zu dem ein Ereignis von Google Security Operations aufgenommen wurde. Dieser Wert wird im UDM-Feld metadata.ingested_timestamp gespeichert.

Die folgenden Zeitstempel werden mit den Erkennungen gespeichert:

  • Erkennungszeitraum: Bei Regeln mit einem Abschnitt match wird eine Erkennung über den Zeitbereich erstellt, der als Erkennungszeitraum bezeichnet wird. Die Zeitstempel der Ereignisse, die die Erkennung ausgelöst haben, liegen innerhalb des Erkennungszeitfensters.
  • Zeitstempel der Erkennung: Bei Regeln mit einem Abschnitt match ist der Zeitstempel der Erkennung das Ende des Erkennungszeitfensters. Andernfalls ist der Zeitstempel für die Erkennung der metadata.event_timestamp des Ereignisses, das die Erkennung ausgelöst hat.
  • Zeitstempel der Erkennung: Datum und Uhrzeit, zu dem die Erkennung von der Erkennungs-Engine erstellt wurde.

Wo Zeitstempel in der Anwendung angezeigt werden

In den folgenden Abschnitten wird beschrieben, wo Sie diese Zeitstempel in der Benutzeroberfläche sehen können.

UDM-Ereignisanzeige

So öffnen Sie die Ansicht UDM-Ereignis:

  1. Führen Sie eine UDM-Suche aus.
  2. Wählen Sie auf dem Tab Ereignisse ein Ereignis aus, um die Ereignisanzeige zu öffnen.

  3. Im Bereich UDM-Ereignis werden die folgenden Daten angezeigt:

    • Der Ereigniszeitstempel wird im UDM-Feld metadata.event_timestamp (1) gespeichert.
    • Der Zeitstempel der Datenaufnahme wird im UDM-Feld metadata.ingested_timestamp (2) gespeichert.

    UDM-Ereignisansicht

Bereich „Erkannte Probleme“

So öffnen Sie die Ansicht Erkenntnisse:

  1. Öffnen Sie Erkenntnisse > Regeln und Erkenntnisse und klicken Sie dann auf die Schaltfläche Dashboard.

  2. Klicken Sie in der Spalte Regelname auf den Link zum Regelnamen. Der Bereich Erkenntnisse wird angezeigt. Dort sehen Sie Folgendes:

    • Der Zeitstempel der Erkennung wird in Zeilen angezeigt, in denen eine Erkennung angegeben ist (1).
    • Der Zeitstempel des Ereignisses wird in Zeilen angezeigt, die Ereignisse identifizieren (2).

    Ansicht „Erkennungen“

Benachrichtigungsansicht

So öffnen Sie die Ansicht Benachrichtigung:

  1. Öffnen Sie Erkannte Bedrohungen > Benachrichtigungen und IOCs.
  2. Klicken Sie auf dem Tab Benachrichtigungen in der Spalte Name auf den Link zum Namen der Benachrichtigung.

  3. Klicken Sie auf den Tab Übersicht, um Folgendes aufzurufen:

    • Der Erstellungs-Zeitstempel der Benachrichtigung (oder Erkennung) wird im Bereich Benachrichtigungsdetails > Feld Erstellt (1) angezeigt.
    • Das Erkennungszeitfenster wird im Bereich Erkennungsübersicht > Feld Erkennungszeitfenster (2) angezeigt.
    • Der Zeitstempel der Erkennung wird im Bereich Erkennungsübersicht > Feld Warnungen erkannt bei (3) angezeigt.

    Benachrichtigungsansicht