Definiciones de marcas de tiempo

Se admite en los siguientes países:

En este documento, se explican las marcas de tiempo comunes para los eventos y las detecciones. Para obtener más información sobre las marcas de tiempo, consulta Función de fecha.

Las siguientes marcas de tiempo se relacionan con eventos:

  • Marca de tiempo del evento: Es la hora en la que ocurrió un evento y se almacena en el campo UDM metadata.event_timestamp. Las reglas y las búsquedas de la AUA usan el campo metadata.event_timestamp para las consultas.
  • Marca de tiempo recopilada: Es la hora en la que la infraestructura de recopilación local, como el reenviador, recopiló un evento. Esto se almacena en el campo UDM metadata.collected_timestamp.
  • Marca de tiempo transferida: Es la hora en la que Google Security Operations transfirió un evento. Esto se almacena en el campo UDM metadata.ingested_timestamp.

Las siguientes marcas de tiempo se almacenan con las detecciones:

  • Ventana de detección: En el caso de las reglas con una sección match, se crea una detección durante el período, denominado ventana de detección. Las marcas de tiempo de los eventos que activaron la detección están dentro del período de detección.
  • Marca de tiempo de detección: En el caso de las reglas con una sección match, la marca de tiempo de detección es la hora de finalización del período de detección. De lo contrario, la marca de tiempo de la detección es el metadata.event_timestamp del evento que generó la detección.
  • Marca de tiempo de creación de la detección: Es la fecha y la hora en que el motor de detección creó la detección.

Dónde aparecen las marcas de tiempo en la aplicación

En las siguientes secciones, se define dónde puedes ver estas marcas de tiempo en la IU.

Visualizador de eventos de la AUA

Para abrir la vista Evento de la AUA, haz lo siguiente:

  1. Realiza una búsqueda de UDM.
  2. En la pestaña Events, selecciona un evento para abrir el Visualizador de eventos.

  3. En el panel Evento de la AUA, se muestran los siguientes datos:

    • La marca de tiempo del evento se almacena en el campo UDM metadata.event_timestamp (1).
    • La marca de tiempo transferida se almacena en el campo UDM metadata.ingested_timestamp (2).

    Vista de eventos de la AUA

Panel de detecciones

Para abrir la vista Detección, haz lo siguiente:

  1. Abre Detecciones > Reglas y detecciones y, luego, haz clic en el botón Panel.

  2. Haz clic en el vínculo del nombre de la regla que aparece en la columna Nombre de la regla. Aparecerá el panel Detections, en el que se mostrará lo siguiente:

    • La marca de tiempo de detección aparece en las filas que identifican una detección (1).
    • La marca de tiempo del evento aparece en las filas que identifican los eventos (2).

    Vista Detecciones

Vista de alertas

Para abrir la vista Alert, haz lo siguiente:

  1. Abre Detecciones > IOC y alertas.
  2. En la pestaña Alertas, haz clic en el vínculo del nombre de la alerta en la columna Nombre.

  3. Haz clic en la pestaña Descripción general para mostrar lo siguiente:

    • La marca de tiempo de creación de la alerta (o detección) aparece en el panel Detalles de la alerta > campo Creada (1).
    • El período de detección aparece en el panel Detection Summary > campo Detection window (2).
    • La marca de tiempo de detección aparece en el panel Resumen de detección > campo Alertas detectadas en (3).

    Vista de alertas