Définition des codes temporels

Compatible avec :

Ce document explique les codes temporels courants pour les événements et les détections. Pour en savoir plus sur les horodatages, consultez la section Fonction de date.

Les codes temporels suivants sont associés à des événements :

  • Horodatage de l'événement : heure à laquelle un événement s'est produit. Il est stocké dans le champ UDM metadata.event_timestamp. Les recherches de règles et d'UDM utilisent le champ metadata.event_timestamp pour les requêtes.
  • Horodatage collecté: heure à laquelle un événement a été collecté par la collecte locale votre infrastructure, telle que le redirecteur. Il est stocké dans metadata.collected_timestamp. UDM.
  • Horodatage d'ingestion : heure à laquelle un événement a été ingéré par Google Security Operations. Il est stocké dans le champ UDM metadata.ingested_timestamp.

Les codes temporels suivants sont stockés avec les détections :

  • Fenêtre de détection: pour les règles comportant une section match, une détection est créée sur la période, appelée la fenêtre de détection. Les codes temporels des événements qui ont déclenché la détection se trouvent dans la période de détection.
  • Code temporel de détection: pour les règles comportant une section match, la valeur de détection l'horodatage est l'heure de fin de la fenêtre de détection. Sinon, la fonction de détection "timestamp" [horodatage] correspond à l'metadata.event_timestamp de l'événement qui a généré le la détection automatique.
  • Horodatage de création de la détection: date et heure de création de la détection d'un moteur de détection.

Emplacement des codes temporels dans l'application

Les sections suivantes indiquent où vous pouvez afficher ces codes temporels dans l'interface utilisateur.

Visionneuse d'événements UDM

Pour ouvrir la vue Événement UDM, procédez comme suit :

  1. Effectuez une recherche UDM.
  2. Dans l'onglet Événements, sélectionnez un événement pour ouvrir le Visionneuse d'événements

  3. Le volet Événement UDM affiche les données suivantes:

    • L'horodatage de l'événement est stocké dans le champ UDM metadata.event_timestamp (1).
    • L'horodatage de l'ingestion est stocké dans le champ UDM metadata.ingested_timestamp (2).

    Vue des événements UDM

Panneau "Détections"

Pour ouvrir la vue Détections, procédez comme suit :

  1. Ouvrez Detections > Rules & Detections (Détections > Règles et détections), puis cliquez sur le bouton Dashboard (Tableau de bord).

  2. Dans la colonne Nom de la règle, cliquez sur le nom de la règle. Le panneau Détections s'affiche avec les informations suivantes:

    • Le code temporel de détection apparaît dans les lignes qui identifient une détection (1).
    • Le code temporel de l'événement s'affiche dans les lignes qui identifient les événements (2).

    Vue "Détections"

Vue "Alertes"

Pour ouvrir la vue Alerte, procédez comme suit :

  1. Ouvrez Détections > Alertes et IOC.
  2. Dans l'onglet Alertes, cliquez sur le lien du nom de l'alerte dans la colonne Nom.

  3. Cliquez sur l'onglet Vue d'ensemble pour afficher les informations suivantes:

    • Le code temporel de création de l'alerte (ou détection) apparaît dans le volet Détails de l'alerte > Created (Créé) (1).
    • La fenêtre de détection s'affiche dans le volet Résumé de la détection > Champ Fenêtre de détection (2).
    • Le code temporel de détection s'affiche dans le volet Résumé de la détection > champ Alertes détectées à (3).

    Vue d'alerte