Schema degli eventi di Google Security Operations
In BigQuery, la tabella denominata eventi archivia i record di eventi UDM.
Il campo hour_time_bucket
identifica la partizione come ora del giorno nel
metadata.event_timestamp
campo UDM. Valori nel campo hour_time_bucket
sono timestamp orari nel formato <AAAA-MM-GG HH:MM:SS UTC>. Ecco alcuni esempi:
- 20-05-2022 00:00:00 UTC
- 2022-05-20 01:00:00 UTC
- 2022-05-20 02:00:00 UTC
- 2022-05-20 03:00:00 UTC
Ad esempio, il valore 2022-05-20 00:00:00 UTC etichetta i dati con un event_timestamp compreso tra 2022-05-20 UTC 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Per ulteriori informazioni, consulta Eseguire query sulle tabelle partizionate.
Il tempo necessario per visualizzare i dati nella tabella events
dipende
sulla differenza tra quando il dispositivo registra l'evento, metadata.event_timestamp
,
e quando l'evento viene importato in Google Security Operations SIEM, metadata.ingested_timestamp
.
Di seguito è riportato un riepilogo del tempo necessario per la visualizzazione dei dati nella tabella events
dopo che sono stati ricevuti da Google Security Operations:
- Se la differenza è inferiore a due ore, i dati verranno visualizzati all'incirca 2 ore dopo l'importazione.
- Se la differenza è compresa tra 2 ore e 24 ore, potrebbero essere necessarie fino a 4 ore per a visualizzare i dati dopo l'importazione.
- Se la differenza è superiore a 24 ore, potrebbero essere necessari fino a 5 giorni prima che i dati dopo l'importazione.
Lo schema della tabella events
cambia regolarmente. Per visualizzare le informazioni sulla tabella:
incluso lo schema attuale, consulta le istruzioni di BigQuery per ottenere informazioni sulle tabelle.
Per accedere allo schema events
:
- Apri la console Google Cloud e seleziona l'ID progetto Google Security Operations che il rappresentante delle operazioni di sicurezza di Google ti ha fornito.
Seleziona BigQuery > BigQuery Studio > datalake > events.
Figura: tabella
events
in BigQuery
Modello dei dati Events
per le dashboard
Nelle dashboard incorporate di Google Security Operations noterai la struttura dei dati chiamata Eventi UDM.
Si tratta di un modello di dati di Looker creato per la tabella events
in BigQuery.
La tabella include i campi UDM più utilizzati. Non include tutti i campi UDM. Se mancano campi UDM, devi averli incorporati in una dashboard personalizzata, contatta il tuo rappresentante Google Security Operations.
Per visualizzare i campi in questa esplorazione, segui questi passaggi:
- Nella barra di navigazione, fai clic su Dashboard.
- Crea una nuova dashboard (fai clic su Aggiungi > Crea nuova) o modifica una dashboard esistente.
- Aggiungi un riquadro.
- Se richiesto, seleziona Visualizzazione come tipo.
- Nell'elenco delle tabelle, seleziona Eventi UDM.
Scorri l'elenco dei campi.
Figura: elenco di campi nel modello di dati degli eventi di Google Security Operations
Passaggi successivi
- Visualizza una descrizione di ogni campo UDM nell'elenco dei campi Modello dati unificato.
- Per informazioni su come accedere ed eseguire query in BigQuery, consulta Eseguire job di query interattive e in batch.
- Per informazioni su come eseguire query sulle tabelle partizionate, consulta Eseguire query sulle tabelle partizionate.
- Per informazioni su come collegare Looker a BigQuery, consulta la documentazione di Looker sulla connessione a BigQuery.
- Informazioni su come eseguire query sulle tabelle partizionate.