Esquema de eventos do Google Security Operations
No BigQuery, a tabela events armazena registros de eventos do UDM.
O campo hour_time_bucket
identifica a partição como a hora do dia na
Campo de UDM metadata.event_timestamp
. Valores no campo hour_time_bucket
são carimbos de data/hora de hora em hora com o formato: <YYYY-MM-DD HH:MM:SS UTC>. Veja alguns exemplos:
- 20/05/2022 00:00:00 UTC
- 2022-05-20 01:00:00 UTC
- 20/05/2022 02:00:00 UTC
- 20-05-2022 03:00:00 UTC
Por exemplo, o valor 2022-05-20 00:00:00 UTC rotula os dados com um event_timestamp entre 2022-05-20 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Para mais informações, consulte Consultar tabelas particionadas.
O tempo que leva para os dados aparecerem na tabela events
depende
da diferença entre o momento em que o dispositivo registra o evento, o metadata.event_timestamp
,
e o momento em que esse evento é processado no SIEM do Google Security Operations, o metadata.ingested_timestamp
.
A tabela a seguir resume o tempo que leva para os dados aparecerem na tabela events
depois de serem recebidos pelas Operações de Segurança do Google:
- Se a diferença for inferior a duas horas, os dados aparecerão aproximadamente 2 horas após a ingestão.
- Se a diferença estiver entre 2 e 24 horas, pode levar até 4 horas para apareçam após a ingestão.
- Se a diferença for maior do que 24 horas, poderá levar até cinco dias para que os dados sejam aparecem depois da ingestão.
O esquema da tabela events
muda regularmente. Para conferir informações sobre a tabela,
incluindo o esquema atual, consulte as instruções do BigQuery para acessar informações da tabela.
Para acessar o esquema events
, faça o seguinte:
- Abra o console do Google Cloud e selecione o ID do projeto do Google Security Operations que seu representante de Operações de Segurança do Google forneceu a você.
Selecione BigQuery > BigQuery Studio > data lake > eventos.
Figura: tabela
events
no BigQuery
Modelo de dados Events
para painéis
Nos painéis incorporados do Google Security Operations, você vai notar a estrutura de dados chamada Eventos do UDM.
Este é um modelo de dados do Looker criado para a tabela events
no BigQuery.
A tabela inclui os campos UDM mais usados. Ele não inclui todos os UDMs campos. Se houver campos de UDM ausentes que precisam ser incorporados a um painel personalizado, entre em contato com seu representante do Google Security Operations.
Para conferir os campos nessa Análise, siga estas etapas:
- Na barra de navegação, clique em Painéis.
- Crie um novo painel (clique em Adicionar > Criar novo) ou edite um painel existente.
- Adicione um bloco.
- Se solicitado, selecione Visualização como o tipo.
- Na lista de tabelas, selecione Eventos da UDM.
Navegue pela lista de campos.
Figura: lista de campos no modelo de dados de eventos de Operações de segurança do Google
A seguir
- Confira uma descrição de cada campo do UDM na Lista de campos do modelo de dados unificado.
- Para informações sobre como acessar e executar consultas no BigQuery, consulte Executar jobs de consulta interativa e em lote.
- Para saber como consultar tabelas particionadas, consulte Consultar tabelas particionadas.
- Para saber como conectar o Looker ao BigQuery, consulte a documentação do Looker sobre como se conectar ao BigQuery.
- Informações sobre como consultar tabelas particionadas.