Esquema de eventos das Operações de segurança do Google

No BigQuery, a tabela chamada events armazena registros de eventos do UDM.

O campo hour_time_bucket identifica a partição como a hora do dia na Campo de UDM metadata.event_timestamp. Valores no campo hour_time_bucket são carimbos de data/hora de hora em hora com o formato: <YYYY-MM-DD HH:MM:SS UTC>. Veja alguns exemplos:

• 20/05/2022 00:00:00 UTC
• 20/05/2022 01:00:00 UTC
• 20/05/2022 02:00:00 UTC
• 20/05/2022 03:00:00 UTC

Por exemplo, o valor 2022-05-20 00:00:00 UTC identifica os dados com um event_timestamp entre 20/05/2022 00:00:00 UTC e 20/05/2022 00:59:59 UTC. Para mais informações, consulte Consulte tabelas particionadas.

O tempo necessário para que os dados apareçam na tabela events depende sobre a diferença entre o momento em que o dispositivo registra o evento, o metadata.event_timestamp, e quando esse evento é ingerido no SIEM das Operações de segurança do Google, o metadata.ingested_timestamp.

A tabela a seguir resume o tempo que leva para os dados aparecerem na tabela events depois de serem recebidos pelas Operações de Segurança do Google:

• Se a diferença for inferior a duas horas, os dados aparecerão aproximadamente 2 horas após a ingestão.
• Se a diferença estiver entre 2 e 24 horas, pode levar até 4 horas para apareçam após a ingestão.
• Se a diferença for maior do que 24 horas, poderá levar até cinco dias para que os dados sejam aparecem depois da ingestão.

O esquema da tabela events muda regularmente. Para conferir informações sobre a tabela, incluindo o esquema atual, consulte as instruções do BigQuery para receber informações da tabela.

Para acessar o esquema events, faça o seguinte:

1. Abra o console do Google Cloud e selecione o ID do projeto do Google Security Operations que seu representante de Operações de Segurança do Google forneceu a você.

2. Selecione BigQuery > BigQuery Studio > datalake > eventos.

   

   Figura: tabela events no BigQuery

Modelo de dados Events para painéis

Nos painéis incorporados do Google Security Operations, você vai notar a estrutura de dados chamada Eventos de UDM. Este é um modelo de dados do Looker criado para a tabela events no BigQuery.

A tabela inclui os campos de UDM mais usados. Ele não inclui todos os UDMs campos. Se houver campos de UDM ausentes, você precisará incorporar a um painel personalizado, entre em contato com seu representante de Operações de segurança do Google.

Para conferir os campos nessa Análise, siga estas etapas:

1. Na barra de navegação, clique em Painéis.
2. Crie um novo painel (clique em Adicionar > Criar novo) ou edite um painel existente.
3. Adicionar um Bloco.
4. Se solicitado, selecione Visualização como o tipo.
5. Na lista de tabelas, selecione Eventos de UDM.

6. Procure a lista de campos.

   

   Figura: lista de campos no modelo de dados de eventos de Operações de segurança do Google

A seguir

• Veja uma descrição de cada campo de UDM na lista de campos do Modelo de dados unificado.
• Para informações sobre como acessar e executar consultas no BigQuery, consulte Executar jobs de consulta interativa e em lote.
• Para informações sobre como consultar tabelas particionadas, confira Consultar tabelas particionadas.
• Para saber como conectar o Looker ao BigQuery, consulte a documentação do Looker sobre como se conectar ao BigQuery.
• Informações sobre como consultar tabelas particionadas.