Esquema de eventos do Google Security Operations

No BigQuery, a tabela events armazena registros de eventos do UDM.

O campo hour_time_bucket identifica a partição como a hora do dia na Campo de UDM metadata.event_timestamp. Valores no campo hour_time_bucket são carimbos de data/hora de hora em hora com o formato: <YYYY-MM-DD HH:MM:SS UTC>. Veja alguns exemplos:

• 20/05/2022 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 20/05/2022 02:00:00 UTC
• 20-05-2022 03:00:00 UTC

Por exemplo, o valor 2022-05-20 00:00:00 UTC rotula os dados com um event_timestamp entre 2022-05-20 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Para mais informações, consulte Consultar tabelas particionadas.

O tempo que leva para os dados aparecerem na tabela events depende da diferença entre o momento em que o dispositivo registra o evento, o metadata.event_timestamp, e o momento em que esse evento é processado no SIEM do Google Security Operations, o metadata.ingested_timestamp.

A tabela a seguir resume o tempo que leva para os dados aparecerem na tabela events depois de serem recebidos pelas Operações de Segurança do Google:

• Se a diferença for inferior a duas horas, os dados aparecerão aproximadamente 2 horas após a ingestão.
• Se a diferença estiver entre 2 e 24 horas, pode levar até 4 horas para apareçam após a ingestão.
• Se a diferença for maior do que 24 horas, poderá levar até cinco dias para que os dados sejam aparecem depois da ingestão.

O esquema da tabela events muda regularmente. Para conferir informações sobre a tabela, incluindo o esquema atual, consulte as instruções do BigQuery para acessar informações da tabela.

Para acessar o esquema events, faça o seguinte:

1. Abra o console do Google Cloud e selecione o ID do projeto do Google Security Operations que seu representante de Operações de Segurança do Google forneceu a você.

2. Selecione BigQuery > BigQuery Studio > data lake > eventos.

   

   Figura: tabela events no BigQuery

Modelo de dados Events para painéis

Nos painéis incorporados do Google Security Operations, você vai notar a estrutura de dados chamada Eventos do UDM. Este é um modelo de dados do Looker criado para a tabela events no BigQuery.

A tabela inclui os campos UDM mais usados. Ele não inclui todos os UDMs campos. Se houver campos de UDM ausentes que precisam ser incorporados a um painel personalizado, entre em contato com seu representante do Google Security Operations.

Para conferir os campos nessa Análise, siga estas etapas:

1. Na barra de navegação, clique em Painéis.
2. Crie um novo painel (clique em Adicionar > Criar novo) ou edite um painel existente.
3. Adicione um bloco.
4. Se solicitado, selecione Visualização como o tipo.
5. Na lista de tabelas, selecione Eventos da UDM.

6. Navegue pela lista de campos.

   

   Figura: lista de campos no modelo de dados de eventos de Operações de segurança do Google

A seguir

• Confira uma descrição de cada campo do UDM na Lista de campos do modelo de dados unificado.
• Para informações sobre como acessar e executar consultas no BigQuery, consulte Executar jobs de consulta interativa e em lote.
• Para saber como consultar tabelas particionadas, consulte Consultar tabelas particionadas.
• Para saber como conectar o Looker ao BigQuery, consulte a documentação do Looker sobre como se conectar ao BigQuery.
• Informações sobre como consultar tabelas particionadas.