Cette page a été traduite par l'API Cloud Translation.

Définition des codes temporels

Compatible avec:

Google SecOps <ph type="x-smartling-placeholder"></ph> SIEM

Ce document décrit les codes temporels courants pour les événements et les détections. Pour en savoir plus sur les horodatages, consultez la section Fonction de date.

Les codes temporels suivants sont associés aux événements:

Horodatage de l'événement: heure à laquelle un événement s'est produit et est stocké dans metadata.event_timestamp. UDM. Les recherches de règles et d'UDM utilisent le champ metadata.event_timestamp pour les requêtes.
Horodatage collecté: heure à laquelle un événement a été collecté par la collecte locale votre infrastructure, telle que le redirecteur. Il est stocké dans metadata.collected_timestamp. UDM.
Horodatage d'ingestion: heure d'ingestion d'un événement par Google Security Operations. Il est stocké dans le champ UDM metadata.ingested_timestamp.

Les codes temporels suivants sont stockés avec les détections:

Fenêtre de détection: pour les règles comportant une section match, une détection est créée sur la période, appelée la fenêtre de détection. Les codes temporels des événements ayant déclenché la détection dans la fenêtre de détection.
Code temporel de détection: pour les règles comportant une section match, la valeur de détection l'horodatage est l'heure de fin de la fenêtre de détection. Sinon, la fonction de détection "timestamp" [horodatage] correspond à l'metadata.event_timestamp de l'événement qui a généré le la détection automatique.
Horodatage de création de la détection: date et heure de création de la détection de détection automatique.

Emplacement des codes temporels dans l'application

Les sections suivantes définissent où vous pouvez afficher ces codes temporels dans l'interface utilisateur.

Lecteur d'événements UDM

Pour ouvrir la vue UDM Event (Événement UDM), procédez comme suit:

Effectuez une recherche UDM.
Dans l'onglet Événements, sélectionnez un événement pour ouvrir le Visionneuse d'événements
Le volet Événement UDM affiche les données suivantes:
- Le code temporel de l'événement est stocké dans le champ UDM metadata.event_timestamp (1).
- Le code temporel ingéré est stocké dans le champ UDM metadata.ingested_timestamp (2).

Panneau "Détections"

Pour ouvrir la vue Détections, procédez comme suit:

Ouvrez Détections > Règles et Détections, puis cliquez sur le bouton Tableau de bord.
Dans la colonne Nom de la règle, cliquez sur le nom de la règle. Le panneau Détections s'affiche avec les informations suivantes:
- Le code temporel de détection apparaît dans les lignes qui identifient une détection (1).
- Le code temporel de l'événement apparaît dans les lignes qui identifient les événements (2).

Vue d'alerte

Pour ouvrir la vue Alert, procédez comme suit:

Ouvrez Détections > Alertes et IOC.
Dans l'onglet Alertes, cliquez sur le lien correspondant au nom de l'alerte dans la colonne Nom.
Cliquez sur l'onglet Vue d'ensemble pour afficher les éléments suivants:
- Le code temporel de création de l'alerte (ou détection) apparaît dans le volet Détails de l'alerte > Created (Créé) (1).
- La fenêtre de détection s'affiche dans le volet Résumé de la détection > Champ Fenêtre de détection (2).
- Le code temporel de détection apparaît dans le volet Résumé de la détection > Alertes détectées à (3).