Definições de carimbo de data/hora

Compatível com:

Este documento explica os carimbos de data/hora comuns para eventos e detecções. Para mais informações sobre carimbos de data/hora, consulte Função de data.

Os seguintes carimbos de data/hora estão relacionados a eventos:

  • Carimbo de data/hora do evento: momento em que um evento ocorreu e foi armazenado no campo metadata.event_timestamp da UDM. As regras e as pesquisas do UDM usam o campo metadata.event_timestamp para consultas.
  • Carimbo de data/hora coletado: momento em que um evento foi coletado pela infraestrutura de coleta local, como o encaminhador. Isso é armazenado no campo UDM metadata.collected_timestamp.
  • Carimbo de data/hora de ingestão: o horário em que um evento foi processado pelo Google Security Operations. Isso é armazenado no campo UDM metadata.ingested_timestamp.

Os seguintes carimbos de data/hora são armazenados com as detecções:

  • Janela de detecção: para regras com uma seção match, uma detecção é criada no período, chamada de janela de detecção. Os carimbos de data/hora dos eventos que acionaram a detecção estão dentro da janela de detecção.
  • Carimbo de data/hora da detecção: para regras com uma seção match, o carimbo de data/hora da detecção é o horário de término da janela de detecção. Caso contrário, o carimbo de data/hora de detecção é o metadata.event_timestamp do evento que gerou a detecção.
  • Carimbo de data/hora da detecção: data e hora em que a detecção foi criada pelo mecanismo de detecção.

Onde os carimbos de data/hora aparecem no aplicativo

As seções a seguir definem onde você pode conferir esses carimbos de data/hora na UI.

Visualizador de eventos da UDM

Para abrir a visualização Evento do UDM, faça o seguinte:

  1. Faça uma pesquisa do UDM.
  2. Na guia Eventos, selecione um evento para abrir o Visualizador de eventos.

  3. O painel Evento do UDM mostra os seguintes dados:

    • O carimbo de data/hora do evento é armazenado no campo UDM metadata.event_timestamp (1).
    • O carimbo de data/hora ingerido é armazenado no campo metadata.ingested_timestamp do UDM (2).

    Visualização de eventos do UDM

Painel de detecções

Para abrir a visualização Detections, faça o seguinte:

  1. Abra Detections > Rules & Detections e clique no botão Dashboard.

  2. Clique no link do nome da regra na coluna Nome da regra. O painel Detections aparece e mostra o seguinte:

    • O carimbo de data/hora de detecção aparece nas linhas que identificam uma detecção (1).
    • O carimbo de data/hora do evento aparece em linhas que identificam eventos (2).

    Visualização de detecções

Visualização de alerta

Para abrir a visualização Alert, faça o seguinte:

  1. Abra Deteções > Alertas e IOCs.
  2. Na guia Alertas, clique no link do nome do alerta na coluna Nome.

  3. Clique na guia Visão geral para mostrar o seguinte:

    • O carimbo de data/hora de criação do alerta (ou da detecção) aparece no painel Alert Details > campo Created (1).
    • A janela de detecção aparece no painel Resumo da detecção > campo Janela de detecção (2).
    • O carimbo de data/hora da detecção aparece no painel Resumo da detecção > campo Alertas detectados em (3).

    Visualização de alerta