Esquema de eventos de Google Security Operations

En BigQuery, la tabla llamada events almacena los registros de eventos de UDM.

El campo hour_time_bucket identifica la partición como la hora del día en el campo de UDM metadata.event_timestamp. Los valores en el campo hour_time_bucket son marcas de tiempo por hora que tienen el siguiente formato: <YYYY-MM-DD HH:MM:SS UTC>. Estos son algunos ejemplos:

• 20-05-2022 00:00:00 UTC
• 20-05-2022 01:00:00 UTC
• 20-05-2022 02:00:00 UTC
• 20-05-2022 03:00:00 UTC

Por ejemplo, el valor 2022-05-20 00:00:00 UTC etiqueta los datos con un event_timestamp entre el 20-05-2022 00:00:00 UTC y el 20-05-2022 00:59:59 UTC. Para obtener más información, lee Consulta tablas particionadas.

La cantidad de tiempo que tardan los datos en aparecer en la tabla events depende de la diferencia entre el momento en que el dispositivo registra el evento, el metadata.event_timestamp, y el momento en que ese evento se transfiere a la SIEM de Google Security Operations, la metadata.ingested_timestamp.

A continuación, se resume el tiempo que tardan los datos en aparecer en la tabla events después de que Google Security Operations los recibe:

• Si la diferencia es menor a dos horas, los datos aparecen aproximadamente 2 horas después de que se transfieren.
• Si la diferencia es entre 2 y 24 horas, los datos pueden tardar hasta 4 horas en aparecer después de que se transfieren.
• Si la diferencia es superior a 24 horas, los datos pueden tardar hasta 5 días en aparecer después de que se transfieren.

El esquema de la tabla events cambia con regularidad. Si deseas ver información sobre la tabla, incluido el esquema actual, consulta las instrucciones de BigQuery sobre cómo obtener información de la tabla.

Para acceder al esquema events, haz lo siguiente:

1. Abre la consola de Google Cloud y, luego, selecciona el ID del proyecto de Google Security Operations que te proporcionó el representante de Google Security Operations.

2. Selecciona BigQuery > BigQuery Studio > datalake > events.

   

   Figura: Tabla events en BigQuery

Modelo de datos de Events para paneles

En los paneles incorporados de Google Security Operations, verás la estructura de datos llamada Eventos de UDM. Este es un modelo de datos de Looker creado para la tabla events en BigQuery.

La tabla incluye los campos de UDM más utilizados. No incluye todos los campos de UDM. Si faltan campos de UDM que debes incorporar en un panel personalizado, comunícate con tu representante de Google Security Operations.

Para ver los campos de esta exploración, sigue estos pasos:

1. En la barra de navegación, haz clic en Paneles.
2. Crea un panel nuevo (haz clic en Agregar > Crear nuevo) o edita uno existente.
3. Agrega una tarjeta.
4. Si se te solicita, selecciona Visualization como el tipo.
5. En la lista de tablas, selecciona UDM Events.

6. Explora la lista de campos.

   

   Figura: Lista de campos en el modelo de datos de eventos de seguridad de Google

¿Qué sigue?

• Consulta una descripción de cada campo de UDM en la lista de campos del modelo de datos unificado.
• Para obtener información sobre cómo acceder a consultas en BigQuery y ejecutarlas, lee Ejecuta trabajos de consulta interactivos y por lotes.
• Si deseas obtener información sobre cómo consultar tablas particionadas, lee Consulta tablas particionadas.
• Si quieres obtener información para conectar Looker a BigQuery, consulta la documentación de Looker sobre cómo conectarse a BigQuery.
• Información sobre cómo consultar tablas particionadas.