Definiciones de marcas de tiempo

Disponible en:

En este documento se explican las marcas de tiempo habituales de los eventos y las detecciones. Para obtener más información sobre las marcas de tiempo, consulta la función de fecha.

Las siguientes marcas de tiempo están relacionadas con eventos:

  • Marca de tiempo del evento: hora en la que se produjo un evento y se almacenó en el campo metadata.event_timestamp Gestión de Datos de Usuario. Las reglas y las búsquedas de UDM usan el campo metadata.event_timestamp para las consultas.
  • Marca de tiempo de recogida: hora en la que la infraestructura de recogida local, como el reenviador, recogió un evento. Se almacena en el campo metadata.collected_timestamp UDM.
  • Marca de tiempo de ingestión: hora en la que Google Security Operations ingirió un evento. Se almacena en el campo de UDM metadata.ingested_timestamp.

Las siguientes marcas de tiempo se almacenan con las detecciones:

  • Periodo de detección: en las reglas con una sección match, se crea una detección en el intervalo de tiempo, denominado periodo de detección. Las marcas de tiempo de los eventos que han activado la detección están dentro del periodo de detección.
  • Marca de tiempo de detección: en las reglas con una sección match, la marca de tiempo de detección es la hora de finalización del periodo de detección. De lo contrario, la marca de tiempo de la detección es la metadata.event_timestamp del evento que ha generado la detección.
  • Marca de tiempo de creación de la detección: fecha y hora en las que el motor de detección creó la detección.

Dónde aparecen las marcas de tiempo en la aplicación

En las siguientes secciones se indica dónde puede ver estas marcas de tiempo en la interfaz de usuario.

Visor de eventos de UDM

Para abrir la vista Evento de UDM, haz lo siguiente:

  1. Realiza una búsqueda de UDM.
  2. En la pestaña Eventos, seleccione un evento para abrir el Visor de eventos.

  3. El panel Evento de UDM muestra los siguientes datos:

    • La marca de tiempo del evento se almacena en el campo de UDM metadata.event_timestamp (1).
    • La marca de tiempo insertada se almacena en el campo de UDM metadata.ingested_timestamp (2).

    Vista Evento de UDM

Panel de detecciones

Para abrir la vista Detecciones, haz lo siguiente:

  1. Abre Detecciones > Reglas y detecciones y, a continuación, haz clic en el botón Panel de control.

  2. Haga clic en el enlace del nombre de la regla de la columna Nombre de la regla. Aparece el panel Detecciones, que muestra lo siguiente:

    • La marca de tiempo de detección aparece en las filas que identifican una detección (1).
    • La marca de tiempo del evento aparece en las filas que identifican eventos (2).

    Vista Detecciones

Vista de alertas

Para abrir la vista Alertas, haz lo siguiente:

  1. Abre Detecciones > Alertas e IOCs.
  2. En la pestaña Alertas, haga clic en el enlace del nombre de la alerta en la columna Nombre.

  3. Haga clic en la pestaña Resumen para ver lo siguiente:

    • La marca de tiempo de la alerta (o detección) creada aparece en el panel Detalles de la alerta > campo Creada (1).
    • El periodo de detección aparece en el panel Resumen de detección > campo Periodo de detección (2).
    • La marca de tiempo de la detección aparece en el panel Resumen de detección > campo Alertas detectadas a las (3).

    Vista de alertas

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.