Google Security Operations 事件架构

在 BigQuery 中，名为事件的表用于存储 UDM 事件记录。

hour_time_bucket 字段在 metadata.event_timestamp UDM 字段中将分区标识为时段。hour_time_bucket 字段中的值是采用以下形式的每小时时间戳：<YYYY-MM-DD HH:MM:SS UTC>。示例如下：

• 2022 年 5 月 20 日 00:00:00（世界协调时间）
• 2022 年 5 月 20 日 01:00:00（世界协调时间）
• 2022 年 5 月 20 日 02:00:00（世界协调时间）
• 2022 年 5 月 20 日 03:00:00（世界协调时间）

例如，值 2022-05-20 00:00:00 UTC 标记了 event_timestamp 介于 2022-05-20 00:00:00 UTC 到 2022-05-20 00:59:59 UTC 的数据。如需了解详情，请参阅查询分区表。

数据显示在 events 表中所需的时间取决于设备记录事件的时间 (metadata.event_timestamp) 与事件被提取到 Google Security Operations SIEM 的时间 (metadata.ingested_timestamp) 之间的差异。

下表汇总了 Google Security Operations 收到数据后数据显示在 events 表中所需的时间：

• 如果差值小于两个小时，则数据会在提取后大约 2 小时内显示。
• 如果时差介于 2 小时和 24 小时之间，则数据提取后最多可能需要 4 小时才能显示。
• 如果差异超过 24 小时，则在提取数据后，最多可能需要 5 天才会显示数据。

events 表架构会定期更改。如需查看该表的相关信息（包括当前架构），请参阅有关获取表信息的 BigQuery 说明。

如需访问 events 架构，请执行以下操作：

1. 打开 Google Cloud 控制台，然后选择 Google Security Operations 代表与您分享的 Google Security Operations 项目 ID。

2. 选择 BigQuery > BigQuery Studio > datalake > 事件。

   

   图：BigQuery 中的 events 表

用于信息中心的 Events 数据模型

在 Google Security Operations 嵌入式信息中心内，您会注意到名为 UDM 事件的数据结构。这是在 BigQuery 中为 events 表创建的 Looker 数据模型。

该表格包含最常用的 UDM 字段。而不包含所有 UDM 字段。如果缺少需要整合到个性化信息中心内的 UDM 字段，请与您的 Google Security Operations 代表联系。

如需查看此探索中的字段，请执行以下步骤：

1. 在导航栏中，点击信息中心。
2. 创建新的信息中心（点击添加 > 新建）或修改现有信息中心。
3. 添加功能块。
4. 如果出现提示，请选择可视化作为类型。
5. 在表列表中，选择 UDM 事件。

6. 浏览字段列表。

   

   图：Google Security Operations 事件数据模型中的字段列表

后续步骤

• 在统一数据模型字段列表中查看每个 UDM 字段的说明。
• 如需了解如何在 BigQuery 中访问和运行查询，请参阅运行交互式查询作业和批量查询作业。
• 如需了解如何查询分区表，请参阅查询分区表。
• 如需了解如何将 Looker 连接到 BigQuery，请参阅有关连接到 BigQuery 的 Looker 文档。
• 有关如何查询分区表的信息。