Zeitstempeldefinitionen

Unterstützt in:

In diesem Dokument werden gängige Zeitstempel für Ereignisse und Erkennungen erläutert. Weitere Informationen zu Zeitstempeln finden Sie unter Datumsfunktion.

Die folgenden Zeitstempel beziehen sich auf Ereignisse:

  • Ereigniszeitstempel: Zeitpunkt, an dem ein Ereignis eingetreten ist. Dieser wird im metadata.event_timestamp gespeichert. UDM ein. Für Regeln und UDM-Suchanfragen wird das Feld metadata.event_timestamp verwendet.
  • Zeitstempel der Erfassung: Zeitpunkt, zu dem ein Ereignis von der lokalen Erfassungsinfrastruktur erfasst wurde, z. B. vom Forwarder. Dieser Wert wird im UDM-Feld metadata.collected_timestamp gespeichert.
  • Zeitstempel der Datenaufnahme: Zeitpunkt, zu dem ein Ereignis von Google Security Operations aufgenommen wurde. Wird im UDM-Feld metadata.ingested_timestamp gespeichert.

Die folgenden Zeitstempel werden mit den Erkennungen gespeichert:

  • Erkennungszeitraum: Bei Regeln mit einem Abschnitt match wird eine Erkennung über den Zeitbereich erstellt, der als Erkennungszeitraum bezeichnet wird. Die Zeitstempel der Ereignisse, die die Erkennung ausgelöst haben, liegen innerhalb des Erkennungszeitfensters.
  • Zeitstempel der Erkennung: Bei Regeln mit dem Abschnitt match Der Zeitstempel ist die Endzeit des Erkennungsfensters. Andernfalls ist der Zeitstempel der Erkennung der metadata.event_timestamp des Ereignisses, das die Erkennung ausgelöst hat.
  • Zeitstempel der Erkennung: Datum und Uhrzeit, zu dem die Erkennung von der Erkennungs-Engine erstellt wurde.

Wo Zeitstempel in der Anwendung angezeigt werden

In den folgenden Abschnitten wird beschrieben, wo Sie diese Zeitstempel in der Benutzeroberfläche sehen können.

UDM-Ereignisanzeige

So öffnen Sie die Ansicht UDM-Ereignis:

  1. Führen Sie eine UDM-Suche aus.
  2. Wählen Sie auf dem Tab Ereignisse ein Ereignis aus, um den Ereignisanzeige
  3. Im Bereich UDM-Ereignis werden die folgenden Daten angezeigt:

    • Der Ereigniszeitstempel wird im UDM-Feld metadata.event_timestamp (1) gespeichert.
    • Der Zeitstempel der Aufnahme wird im UDM-Feld metadata.ingested_timestamp gespeichert (2).

    UDM-Ereignisansicht

Bereich „Erkannte Probleme“

So öffnen Sie die Ansicht Erkenntnisse:

  1. Öffnen Sie Erkenntnisse > Regeln und Erkenntnisse und klicken Sie dann auf die Schaltfläche Dashboard.
  2. Klicken Sie unter der Spalte Regelname auf den Link für den Regelnamen. Der Bereich Erkannte Probleme wird angezeigt. Dort sehen Sie Folgendes:

    • Der Zeitstempel der Erkennung wird in Zeilen angezeigt, in denen eine Erkennung angegeben ist (1).
    • Der Zeitstempel des Ereignisses wird in Zeilen angezeigt, die Ereignisse identifizieren (2).

    Ansicht „Erkennungen“

Benachrichtigungsansicht

So öffnen Sie die Ansicht Benachrichtigungen:

  1. Öffnen Sie Erkennungen > Benachrichtigungen und IOCs
  2. Klicken Sie auf dem Tab Benachrichtigungen in der Spalte Name auf den Link zum Namen der Benachrichtigung.
  3. Klicken Sie auf den Tab Übersicht, um Folgendes zu sehen:

    • Der Erstellungs-Zeitstempel der Benachrichtigung (oder Erkennung) wird im Bereich Benachrichtigungsdetails > Feld Erstellt (1) angezeigt.
    • Das Fenster mit der Erkennung wird im Bereich Zusammenfassung der Erkennung angezeigt. > Feld Erkennungsfenster (2)
    • Der Zeitstempel der Erkennung wird im Bereich Erkennungsübersicht > Feld Warnungen erkannt bei (3) angezeigt.

    Benachrichtigungsansicht