Schema für Google Security Operations-Ereignisse

In BigQuery werden UDM-Ereignisdatensätze in der Tabelle events gespeichert.

Das Feld hour_time_bucket identifiziert die Partition als die Uhrzeit im UDM-Feld metadata.event_timestamp. Die Werte im Feld hour_time_bucket sind stündliche Zeitstempel im Format <TT.MM.JJJJ HH:MM:SS UTC>. Hier einige Beispiele:

• 20.05.2022 00:00:00 UTC
• 20.05.2022 01:00:00 UTC
• 20.05.2022 02:00:00 UTC
• 20.05.2022 03:00:00 UTC

Beispiel: Durch den Wert 2022-05-20 00:00:00 UTC werden Daten mit einem „event_timestamp“ zwischen dem 20.05.2022 00:00:00 UTC und dem 20.05.2022 00:59:59 UTC gekennzeichnet. Weitere Informationen finden Sie unter Partitionierte Tabellen abfragen

Wie lange es dauert, bis Daten in der Tabelle events angezeigt werden, hängt davon ab, wie viel Zeit zwischen dem Zeitpunkt vergeht, zu dem das Gerät das Ereignis aufzeichnet (metadata.event_timestamp), und dem Zeitpunkt, zu dem das Ereignis in die SIEM von Google Security Operations aufgenommen wird (metadata.ingested_timestamp).

Im Folgenden wird zusammengefasst, wie lange es dauert, bis Daten in der Tabelle events angezeigt werden, nachdem sie von Google Security Operations empfangen wurden:

• Wenn die Differenz weniger als zwei Stunden beträgt, werden die Daten ungefähr 2 Stunden nach der Aufnahme.
• Beträgt die Differenz zwischen 2 und 24 Stunden, kann es bis zu 4 Stunden dauern, nach der Aufnahme angezeigt werden können.
• Wenn die Differenz mehr als 24 Stunden beträgt, kann es bis zu 5 Tage dauern, bis die Daten verfügbar sind. nach der Aufnahme angezeigt.

Das Tabellenschema events wird regelmäßig geändert. Um Informationen zur Tabelle anzuzeigen, einschließlich des aktuellen Schemas finden Sie in der BigQuery-Anleitung zum Abrufen von Tabelleninformationen.

So greifen Sie auf das Schema events zu:

1. Öffnen Sie die Google Cloud Console und wählen Sie die Google Security Operations-Projekt-ID aus die Ihr Google Security Operations-Mitarbeiter Ihnen zur Verfügung gestellt hat.

2. Wählen Sie BigQuery aus. BigQuery Studio > datalake > events.

   

   Abbildung: Tabelle events in BigQuery

Events-Datenmodell für Dashboards

In den eingebetteten Dashboards von Google Security Operations sehen Sie die Datenstruktur mit der Bezeichnung UDM-Ereignisse. Dies ist ein Looker-Datenmodell, das für die Tabelle events in BigQuery erstellt wurde.

Die Tabelle enthält die am häufigsten verwendeten UDM-Felder. Es sind nicht alle UDMs enthalten. . Wenn UDM-Felder fehlen, die Sie in ein personalisiertes Dashboard einbinden müssen, wenden Sie sich an Ihren Google Security Operations-Ansprechpartner.

Führen Sie die folgenden Schritte aus, um Felder in diesem Explore anzuzeigen:

1. Klicken Sie in der Navigationsleiste auf Dashboards.
2. Erstellen Sie ein neues Dashboard, indem Sie auf Hinzufügen > Neu erstellen klicken, oder bearbeiten Sie ein vorhandenes Dashboard.
3. Ansicht hinzufügen.
4. Wählen Sie als Typ Visualisierung aus, wenn Sie dazu aufgefordert werden.
5. Wählen Sie in der Liste der Tabellen UDM-Ereignisse aus.

6. Gehen Sie die Liste der Felder durch.

   

   Abbildung: Liste der Felder im Datenmodell von Google Security Operations Events

Nächste Schritte

• Eine Beschreibung der einzelnen UDM-Felder finden Sie in der Liste der Felder für einheitliche Datenmodelle.
• Informationen zum Zugriff auf und Ausführen von Abfragen in BigQuery finden Sie unter Interaktive und Batch-Abfragejobs ausführen.
• Weitere Informationen zum Abfragen von partitionierten Tabellen finden Sie unter Partitionierte Tabellen abfragen.
• Informationen zum Verbinden von Looker mit BigQuery finden Sie in der Looker-Dokumentation zum Herstellen einer Verbindung mit BigQuery.
• Informationen zum Abfragen von partitionierten Tabellen