Google Security Operations 이벤트 스키마
BigQuery에서 이벤트라는 테이블에는 UDM 이벤트 레코드가 저장됩니다.
hour_time_bucket
필드는 metadata.event_timestamp
UDM 필드의 하루 중 시간을 사용해서 파티션을 식별합니다. hour_time_bucket 필드의 값은 <YYYY-MM-DD HH:MM:SS UTC> 형식의 시간 스탬프입니다. 예를 들면 다음과 같습니다.
- 2022-05-20 00:00:00 UTC
- 2022-05-20 01:00:00 UTC
- 2022-05-20 02:00:00 UTC
- 2022-05-20 03:00:00 UTC
예를 들어 값이 2022-05-20 00:00:00 UTC라고 가정할 때, 이 값은 event_timestamp가 2022-05-20 00:00:00 UTC에서 2022-05-20 00:59:59 UTC 사이의 시간 범위 내에 포함된 데이터를 나타냅니다. 자세한 내용은 파티션을 나눈 테이블 쿼리를 참조하세요.
데이터가 events
테이블에 표시되는 데 걸리는 시간은 기기에서 이벤트를 기록하는 시점(metadata.event_timestamp
)과 해당 이벤트가 Google Security Operations SIEM에 수집되는 시간(metadata.ingested_timestamp
) 간의 차이에 따라 달라집니다.
다음에서는 Google Security Operations에서 데이터를 수신한 후 데이터가 events
테이블에 표시되는 데 걸리는 시간을 요약합니다.
- 차이가 2시간 미만이면 데이터가 수집된지 약 2시간 후에 데이터가 표시됩니다.
- 차이가 2시간에서 24시간이면 수집 후 데이터가 표시되는 데 최대 4시간이 걸릴 수 있습니다.
- 차이가 24시간을 초과한 경우 수집 후 데이터가 표시되는 데 최대 5일이 걸릴 수 있습니다.
events
테이블 스키마는 정기적으로 변경됩니다. 현재 스키마를 포함하여 테이블에 대한 정보를 보려면 테이블 정보 가져오기에 대한 BigQuery 안내를 참조하세요.
events
스키마에 액세스하려면 다음을 수행합니다.
- Google Cloud 콘솔을 열고 Google Security Operations 담당자가 공유한 Google Security Operations 프로젝트 ID를 선택합니다.
BigQuery > BigQuery Studio > datalake > 이벤트를 선택합니다.
그림: BigQuery의
events
테이블
대시보드의 Events
데이터 모델
Google Security Operations 삽입 대시보드에서 UDM 이벤트라는 데이터 구조를 확인할 수 있습니다.
이것은 BigQuery에서 events
테이블에 대해 생성된 Looker 데이터 모델입니다.
테이블에는 가장 일반적으로 사용되는 UDM 필드가 포함됩니다. 모든 UDM 필드가 포함되지는 않습니다. 맞춤형 대시보드에 통합해야 하는 UDM 필드가 누락되어 있으면 Google Security Operations 담당자에게 문의하세요.
이 탐색에서 필드를 보려면 다음 단계를 수행합니다.
- 탐색 메뉴에서 대시보드를 클릭합니다.
- 새 대시보드를 만들거나(추가 > 새로 만들기 클릭) 기존 대시보드를 수정합니다.
- 타일을 추가합니다.
- 메시지가 표시되면 유형으로 시각화를 선택합니다.
- 테이블 목록에서 UDM 이벤트를 선택합니다.
필드 목록을 찾아봅니다.
그림: Google Security Operations 이벤트 데이터 모델의 필드 목록
다음 단계
- 통합 데이터 모델 필드 목록의 각 UDM 필드에 대한 설명을 확인합니다.
- BigQuery에서 쿼리 액세스 및 실행에 대한 자세한 내용은 대화형 및 일괄 쿼리 작업 실행을 참조하세요.
- 파티션을 나눈 테이블을 쿼리하는 방법은 파티션을 나눈 테이블 쿼리를 참조하세요.
- Looker를 BigQuery에 연결하는 방법은 BigQuery에 연결에 대한 Looker 문서를 참조하세요.
- 파티션을 나눈 테이블 쿼리 방법에 대한 자세한 정보