时间戳定义

本文档介绍了事件和检测的常见时间戳。如需详细了解时间戳，请参阅日期函数。

以下时间戳与事件相关：

• 事件时间戳：事件发生的时间，存储在 metadata.event_timestamp UDM 字段中。规则和 UDM 搜索会使用 metadata.event_timestamp 字段进行查询。
• 收集时间戳：本地收集基础架构（例如转发器）收集事件的时间。此值存储在 metadata.collected_timestamp UDM 字段中。
• 提取时间戳：Google Security Operations 提取事件的时间。此值存储在 metadata.ingested_timestamp UDM 字段中。

系统会将以下时间戳与检测结果一起存储：

• 检测窗口：对于包含 match 部分的规则，系统会在相应时间范围内创建检测，该时间范围称为检测窗口。触发检测的事件的时间戳在检测窗口期内。
• 检测时间戳：对于包含 match 部分的规则，检测时间戳为检测窗口期的结束时间。否则，检测时间戳为生成检测的事件的 metadata.event_timestamp。
• 检测创建时间戳：检测引擎创建检测的日期和时间。

时间戳在应用中的显示位置

以下部分介绍了可以在界面的哪些位置查看这些时间戳。

UDM 事件查看器

如需打开 UDM 事件视图，请执行以下操作：

1. 执行 UDM 搜索。
2. 在事件标签页中，选择一个事件以打开事件查看器

3. UDM 事件窗格会显示以下数据：

   • 事件时间戳存储在 metadata.event_timestamp UDM 字段 (1) 中。
   • 提取时间戳存储在 metadata.ingested_timestamp UDM 字段 (2) 中。

   

“检测”面板

如需打开检测视图，请执行以下操作：

1. 依次打开检测 > 规则和检测，然后点击信息中心按钮。

2. 点击规则名称列下的规则名称链接。系统随即会显示 Detections 面板，其中会显示以下内容：

   • 检测时间戳显示在用于标识检测的行中 (1)。
   • 事件时间戳显示在用于标识事件的行中 (2)。

   

提醒视图

如需打开提醒视图，请执行以下操作：

1. 依次打开检测 > 提醒和 IOC。
2. 在提醒标签页下，点击名称列中的提醒名称链接。

3. 点击概览标签页，以显示以下内容：

   • 提醒（或检测）创建时间戳显示在提醒详情窗格 > 创建时间字段 (1) 中。
   • 检测窗口显示在检测摘要窗格 > 检测窗口字段 (2) 中。
   • 检测时间戳显示在检测摘要窗格 > 检测到提醒的时间字段 (3) 中。