Schema degli eventi di Google Security Operations

In BigQuery, la tabella denominata eventi archivia i record di eventi UDM.

Il campo hour_time_bucket identifica la partizione come ora del giorno nel metadata.event_timestamp campo UDM. Valori nel campo hour_time_bucket sono timestamp orari nel formato <AAAA-MM-GG HH:MM:SS UTC>. Ecco alcuni esempi:

• 20-05-2022 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 2022-05-20 02:00:00 UTC
• 2022-05-20 03:00:00 UTC

Ad esempio, il valore 2022-05-20 00:00:00 UTC etichetta i dati con un event_timestamp compreso tra 2022-05-20 UTC 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Per ulteriori informazioni, consulta Eseguire query sulle tabelle partizionate.

Il tempo necessario per visualizzare i dati nella tabella events dipende sulla differenza tra quando il dispositivo registra l'evento, metadata.event_timestamp, e quando l'evento viene importato in Google Security Operations SIEM, metadata.ingested_timestamp.

Di seguito è riportato un riepilogo del tempo necessario per la visualizzazione dei dati nella tabella events dopo che sono stati ricevuti da Google Security Operations:

• Se la differenza è inferiore a due ore, i dati verranno visualizzati all'incirca 2 ore dopo l'importazione.
• Se la differenza è compresa tra 2 ore e 24 ore, potrebbero essere necessarie fino a 4 ore per a visualizzare i dati dopo l'importazione.
• Se la differenza è superiore a 24 ore, potrebbero essere necessari fino a 5 giorni prima che i dati dopo l'importazione.

Lo schema della tabella events cambia regolarmente. Per visualizzare le informazioni sulla tabella: incluso lo schema attuale, consulta le istruzioni di BigQuery per ottenere informazioni sulle tabelle.

Per accedere allo schema events:

1. Apri la console Google Cloud e seleziona l'ID progetto Google Security Operations che il rappresentante delle operazioni di sicurezza di Google ti ha fornito.

2. Seleziona BigQuery > BigQuery Studio > datalake > events.

   

   Figura: tabella events in BigQuery

Modello dei dati Events per le dashboard

Nelle dashboard incorporate di Google Security Operations noterai la struttura dei dati chiamata Eventi UDM. Si tratta di un modello di dati di Looker creato per la tabella events in BigQuery.

La tabella include i campi UDM più utilizzati. Non include tutti i campi UDM. Se mancano campi UDM, devi averli incorporati in una dashboard personalizzata, contatta il tuo rappresentante Google Security Operations.

Per visualizzare i campi in questa esplorazione, segui questi passaggi:

1. Nella barra di navigazione, fai clic su Dashboard.
2. Crea una nuova dashboard (fai clic su Aggiungi > Crea nuova) o modifica una dashboard esistente.
3. Aggiungi un riquadro.
4. Se richiesto, seleziona Visualizzazione come tipo.
5. Nell'elenco delle tabelle, seleziona Eventi UDM.

6. Scorri l'elenco dei campi.

   

   Figura: elenco di campi nel modello di dati degli eventi di Google Security Operations

Passaggi successivi

• Visualizza una descrizione di ogni campo UDM nell'elenco dei campi Modello dati unificato.
• Per informazioni su come accedere ed eseguire query in BigQuery, consulta Eseguire job di query interattive e in batch.
• Per informazioni su come eseguire query sulle tabelle partizionate, consulta Eseguire query sulle tabelle partizionate.
• Per informazioni su come collegare Looker a BigQuery, consulta la documentazione di Looker sulla connessione a BigQuery.
• Informazioni su come eseguire query sulle tabelle partizionate.