Definizioni dei timestamp

Supportato in:

Questo documento spiega i timestamp comuni per eventi e rilevamenti. Per ulteriori informazioni sui timestamp, consulta la funzione Data.

I seguenti timestamp sono relativi agli eventi:

  • Timestamp dell'evento: l'ora in cui si è verificato un evento e che viene memorizzata nel campo UDM metadata.event_timestamp. Le regole e le ricerche UDM utilizzano il campo metadata.event_timestamp per le query.
  • Timestamp raccolto: ora in cui un evento è stato raccolto dall'infrastruttura di raccolta locale, ad esempio il forwarder. Questo valore viene archiviato nel campo UDM metadata.collected_timestamp.
  • Timestamp importato: ora in cui un evento è stato importato da Google Security Operations. Questo valore viene archiviato nel campo UDM metadata.ingested_timestamp.

I seguenti timestamp vengono archiviati con i rilevamenti:

  • Finestra di rilevamento: per le regole con una sezione match, viene creato un rilevamento nell'intervallo di tempo, chiamato finestra di rilevamento. I timestamp degli eventi che hanno attivato il rilevamento rientrano nella finestra di rilevamento.
  • Timestamp del rilevamento: per le regole con una sezione match, il timestamp del rilevamento corrisponde alla data e all'ora di fine della finestra di rilevamento. In caso contrario, il timestamp del rilevamento è il metadata.event_timestamp dell'evento che ha generato il rilevamento.
  • Timestamp del rilevamento creato: data e ora in cui il rilevamento è stato creato dal motore di rilevamento.

Dove vengono visualizzati i timestamp nell'applicazione

Le sezioni seguenti definiscono dove puoi visualizzare questi timestamp nell'interfaccia utente.

Visualizzatore eventi UDM

Per aprire la visualizzazione Evento UDM:

  1. Esegui una ricerca UDM.
  2. Nella scheda Eventi, seleziona un evento per aprire il Visualizzatore eventi.

  3. Il riquadro Evento UDM mostra i seguenti dati:

    • Il timestamp dell'evento viene memorizzato nel campo UDM metadata.event_timestamp (1).
    • Il timestamp importato viene memorizzato nel campo UDM metadata.ingested_timestamp (2).

    Visualizzazione Eventi UDM

Riquadro Rilevamento

Per aprire la visualizzazione Rilevamento:

  1. Apri Rilevamento > Regole e rilevamenti e poi fai clic sul pulsante Dashboard.

  2. Fai clic sul link al nome della regola nella colonna Nome regola. Viene visualizzato il riquadro Rilevamento, che mostra quanto segue:

    • Il timestamp del rilevamento viene visualizzato nelle righe che identificano un rilevamento (1).
    • Il timestamp dell'evento viene visualizzato nelle righe che identificano gli eventi (2).

    Visualizzazione dei rilevamenti

Visualizzazione Avviso

Per aprire la visualizzazione Avviso:

  1. Apri Rilevamento > Avvisi e IOC.
  2. Nella scheda Avvisi, fai clic sul link al nome dell'avviso nella colonna Nome.

  3. Fai clic sulla scheda Panoramica per visualizzare quanto segue:

    • Il timestamp di creazione dell'avviso (o del rilevamento) viene visualizzato nel riquadro Dettagli avviso > campo Creato (1).
    • La finestra di rilevamento viene visualizzata nel riquadro Riepilogo rilevamento > campo Finestra di rilevamento (2).
    • Il timestamp del rilevamento viene visualizzato nel riquadro Riepilogo rilevamento > campo Avvisi rilevati in (3).

    Visualizzazione Avviso