Definições de data/hora

Compatível com:

Este documento explica as datas/horas comuns para eventos e deteções. Para mais informações sobre as indicações de tempo, consulte a função de data.

As seguintes datas/horas estão relacionadas com eventos:

  • Data/hora do evento: hora em que um evento ocorreu e que é armazenada no campo UDM.metadata.event_timestamp As regras e as pesquisas de UDM usam o campo metadata.event_timestamp para consultas.
  • Data/hora de recolha: hora em que um evento foi recolhido pela infraestrutura de recolha local, como o encaminhador. Este valor é armazenado no campo metadata.collected_timestamp UDM.
  • Data/hora de carregamento: hora em que um evento foi carregado pelo Google Security Operations. Este valor é armazenado no campo UDM metadata.ingested_timestamp.

As seguintes datas/horas são armazenadas com as deteções:

  • Janela de deteção: para regras com uma secção match, é criada uma deteção no intervalo de tempo denominado janela de deteção. As datas/horas dos eventos que acionaram a deteção estão dentro do período de deteção.
  • Data/hora de deteção: para regras com uma secção match, a data/hora de deteção é a hora de fim da janela de deteção. Caso contrário, a data/hora da deteção é a metadata.event_timestamp do evento que gerou a deteção.
  • Data/hora de criação da deteção: data e hora em que a deteção foi criada pelo motor de deteção.

Onde as indicações de tempo aparecem na aplicação

As secções seguintes definem onde pode ver estas datas/horas na IU.

Visualizador de eventos da UDM

Para abrir a vista Evento UDM, faça o seguinte:

  1. Realizar uma pesquisa de UDM.
  2. No separador Eventos, selecione um evento para abrir o Visualizador de eventos

  3. O painel Evento UDM apresenta os seguintes dados:

    • A data/hora do evento é armazenada no campo UDM (1).metadata.event_timestamp
    • A data/hora carregada é armazenada no campo UDM metadata.ingested_timestamp (2).

    Vista de eventos da UDM

Painel de deteções

Para abrir a vista Deteções, faça o seguinte:

  1. Abra Deteções > Regras e deteções e, de seguida, clique no botão Painel de controlo.

  2. Clique no link do nome da regra na coluna Nome da regra. O painel Deteções é apresentado e mostra o seguinte:

    • A data/hora de deteção aparece nas linhas que identificam uma deteção (1).
    • A data/hora do evento aparece nas linhas que identificam eventos (2).

    Vista Deteções

Vista de alerta

Para abrir a vista Alerta, faça o seguinte:

  1. Abra Deteções > Alertas e IOCs.
  2. No separador Alertas, clique no link do nome do alerta na coluna Nome.

  3. Clique no separador Vista geral para apresentar o seguinte:

    • A data/hora de criação do alerta (ou da deteção) é apresentada no painel Detalhes do alerta > campo Criado (1).
    • A janela de deteção é apresentada no painel Resumo da deteção > campo Janela de deteção (2).
    • A data/hora de deteção é apresentada no painel Resumo da deteção > campo Alertas detetados às (3).

    Vista de alerta

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.