タイムスタンプ定義
このドキュメントでは、イベントと検出の一般的なタイムスタンプについて説明します。 タイムスタンプの詳細については、Date 関数をご覧ください。
イベントに関連するタイムスタンプは次のとおりです。
- イベントのタイムスタンプ: イベントが発生した時刻。
metadata.event_timestampUDM フィールドに保存されます。ルールと UDM 検索では、クエリにmetadata.event_timestampフィールドが使用されます。 - 収集タイムスタンプ: ローカルの収集インフラストラクチャ(フォワーダーなど)によってイベントが収集された時刻。
metadata.collected_timestampUDM フィールドに保存されます。 - 取り込みタイムスタンプ: Google Security Operations によってイベントが取り込まれた時刻。
metadata.ingested_timestampUDM フィールドに保存されます。
検出で保存されるタイムスタンプは次のとおりです。
- 検出ウィンドウ:
matchセクションがあるルールの場合、検出は検出ウィンドウと呼ばれる期間に対して作成されます。検出をトリガーしたイベントのイベント タイムスタンプは、検出ウィンドウ内にあります。 - 検出タイムスタンプ:
matchセクションがあるルールの場合、検出タイムスタンプは検出ウィンドウの終了時間です。それ以外の場合、検出タイムスタンプは検出が生成されたイベントのmetadata.event_timestampです。 - 検出作成タイムスタンプ: 検出エンジンで検出が作成された日時。
アプリケーションでタイムスタンプが表示される場所
次のセクションでは、UI でこれらのタイムスタンプを表示できる場所について説明します。
UDM イベント ビューア
[UDM イベント] ビューを開くには、次の手順を行います。
- UDM 検索を実行します。
- [イベント] タブでイベントを選択して、イベント ビューアを開きます。
[UDM イベント] ペインには、次のデータが表示されます。
- イベント タイムスタンプは
metadata.event_timestampUDM フィールドに保存されます(1)。 - 取り込みタイムスタンプは
metadata.ingested_timestampUDM フィールドに保存されます(2)。
- イベント タイムスタンプは
[検出] パネル
[検出] ビューを開くには、次の手順を行います。
- [検出] > [ルールと検出] を開き、[ダッシュボード] ボタンをクリックします。
[ルール名] 列にあるルール名のリンクをクリックします。[検出] パネルが開き、次の情報が表示されます。
- 検出タイムスタンプは、検出を識別する行に表示されます(1)。
- イベント タイムスタンプは、イベントを識別する行に表示されます(2)。
![[検出] ビュー](https://cloud.google.com/chronicle/images/detection/detection-view-timestamp.png?hl=ja)
[アラート] ビュー
[アラート] ビューを開くには、次の手順を行います。
- [検出] > [アラートと IOC] を開きます。
- [アラート] タブで、[名前] 列のアラート名のリンクをクリックします。
[概要] タブをクリックして、次を表示します。
- アラート(または検出)作成タイムスタンプが [アラートの詳細] ペイン > [作成] フィールドに表示されます(1)。
- 検出ウィンドウが [検出の概要] ペイン > [検出ウィンドウ] フィールドに表示されます(2)。
- 検出タイムスタンプが [検出の概要] ペイン > [アラート検出時刻] フィールド(3)に表示されます。
![[アラート] ビュー](https://cloud.google.com/chronicle/images/detection/alert-view-timestamp.png?hl=ja)