Esquema de eventos do Chronicle

No BigQuery, a tabela chamada events armazena registros de eventos do UDM.

O campo hour_time_bucket identifica a partição como a hora do dia no campo metadata.event_timestamp do UDM. Os valores no campo hour_time_bucket são carimbos de hora/hora que têm o formato: <YYYY-MM-DD HH:MM:SS UTC>. Veja alguns exemplos:

• 20-05-2022 00:00:00 UTC
• 20-05-2022 13:00:00 UTC
• 20-05-2022 20:00:00 UTC
• 20-05-2022 3:00:00 UTC

Por exemplo, o valor 2022-05-20 00:00:00 UTC rotula dados com um event_timestamp entre 2022-05-20 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Para mais informações, acesse Consultar tabelas particionadas.

O tempo necessário para que os dados apareçam na tabela events depende da diferença entre o momento em que o dispositivo registra o evento, o metadata.event_timestamp, e quando esse evento é ingerido no Chronicle SIEM, o metadata.ingested_timestamp.

Veja a seguir o resumo do tempo que leva para os dados aparecerem na tabela events depois de serem recebidos pelo Chronicle:

• Se a diferença for menos de duas horas, os dados aparecerão aproximadamente duas horas após a ingestão.
• Se a diferença for de 2 a 24 horas, pode levar até 4 horas para que os dados apareçam após a ingestão.
• Se a diferença for mais de 24 horas, pode levar até cinco dias para que os dados apareçam após a ingestão.

O esquema da tabela events muda regularmente. Para ver informações sobre a tabela, incluindo o esquema atual, consulte as instruções do BigQuery sobre como receber informações da tabela.

Para acessar o esquema events, faça o seguinte:

1. Abra o console do Google Cloud e selecione o ID do projeto do Chronicle que o representante do Chronicle forneceu e compartilhou com você.

2. Selecione BigQuery > BigQuery Studio > datalake > eventos.

   

   Figura: tabela events no BigQuery

Events modelo de dados para painéis

Nos painéis incorporados do Chronicle, é possível notar a estrutura de dados chamada Eventos do UDM. Este é um modelo de dados do Looker criado para a tabela events no BigQuery.

A tabela inclui os campos UDM mais usados. Ele não inclui todos os campos do UDM. Se faltarem campos do UDM que você precisa incorporar a um painel personalizado, entre em contato com o representante do Chronicle.

Para conferir os campos nesse Explore, siga estas etapas:

1. Na barra de navegação, clique em Painéis.
2. Crie um novo painel (clique em Adicionar > Criar novo) ou edite um painel existente.
3. Adicione um Bloco.
4. Selecione Visualização como o tipo, se solicitado.
5. Na lista de tabelas, selecione Eventos do UDM.

6. Procure na lista de campos.

   

   Figura: lista de campos no modelo de dados do Chronicle Events

A seguir

• Veja uma descrição de cada campo do UDM na lista de campos do modelo de dados unificado.
• Para informações sobre como acessar e executar consultas no BigQuery, consulte Executar jobs de consulta interativa e em lote.
• Para mais informações sobre como consultar tabelas particionadas, confira Consultar tabelas particionadas.
• Para saber como conectar o Looker ao BigQuery, consulte a documentação do Looker sobre como conectar o Looker ao BigQuery.
• Informações sobre como consultar tabelas particionadas.