Google Security Operations 이벤트 스키마

BigQuery에서 이벤트라는 테이블에는 UDM 이벤트 레코드가 저장됩니다.

hour_time_bucket 필드는 metadata.event_timestamp UDM 필드의 하루 중 시간을 사용해서 파티션을 식별합니다. hour_time_bucket 필드의 값은 <YYYY-MM-DD HH:MM:SS UTC> 형식의 시간 스탬프입니다. 예를 들면 다음과 같습니다.

  • 2022-05-20 00:00:00 UTC
  • 2022-05-20 01:00:00 UTC
  • 2022-05-20 02:00:00 UTC
  • 2022-05-20 03:00:00 UTC

예를 들어 값이 2022-05-20 00:00:00 UTC라고 가정할 때, 이 값은 event_timestamp가 2022-05-20 00:00:00 UTC에서 2022-05-20 00:59:59 UTC 사이의 시간 범위 내에 포함된 데이터를 나타냅니다. 자세한 내용은 파티션을 나눈 테이블 쿼리를 참조하세요.

데이터가 events 테이블에 표시되는 데 걸리는 시간은 기기에서 이벤트를 기록하는 시점(metadata.event_timestamp)과 해당 이벤트가 Google Security Operations SIEM에 수집되는 시간(metadata.ingested_timestamp) 간의 차이에 따라 달라집니다.

다음에서는 Google Security Operations에서 데이터를 수신한 후 데이터가 events 테이블에 표시되는 데 걸리는 시간을 요약합니다.

  • 차이가 2시간 미만이면 데이터가 수집된지 약 2시간 후에 데이터가 표시됩니다.
  • 차이가 2시간에서 24시간이면 수집 후 데이터가 표시되는 데 최대 4시간이 걸릴 수 있습니다.
  • 차이가 24시간을 초과한 경우 수집 후 데이터가 표시되는 데 최대 5일이 걸릴 수 있습니다.

events 테이블 스키마는 정기적으로 변경됩니다. 현재 스키마를 포함하여 테이블에 대한 정보를 보려면 테이블 정보 가져오기에 대한 BigQuery 안내를 참조하세요.

events 스키마에 액세스하려면 다음을 수행합니다.

  1. Google Cloud 콘솔을 열고 Google Security Operations 담당자가 공유한 Google Security Operations 프로젝트 ID를 선택합니다.

  2. BigQuery > BigQuery Studio > datalake > 이벤트를 선택합니다.

    BigQuery의 이벤트 테이블의 필드 목록

    그림: BigQuery의 events 테이블

대시보드의 Events 데이터 모델

Google Security Operations 삽입 대시보드에서 UDM 이벤트라는 데이터 구조를 확인할 수 있습니다. 이것은 BigQuery에서 events 테이블에 대해 생성된 Looker 데이터 모델입니다.

테이블에는 가장 일반적으로 사용되는 UDM 필드가 포함됩니다. 모든 UDM 필드가 포함되지는 않습니다. 맞춤형 대시보드에 통합해야 하는 UDM 필드가 누락되어 있으면 Google Security Operations 담당자에게 문의하세요.

이 탐색에서 필드를 보려면 다음 단계를 수행합니다.

  1. 탐색 메뉴에서 대시보드를 클릭합니다.
  2. 새 대시보드를 만들거나(추가 > 새로 만들기 클릭) 기존 대시보드를 수정합니다.
  3. 타일을 추가합니다.
  4. 메시지가 표시되면 유형으로 시각화를 선택합니다.
  5. 테이블 목록에서 UDM 이벤트를 선택합니다.

  6. 필드 목록을 찾아봅니다.

    Google Security Operations 대시보드의 필드 목록

    그림: Google Security Operations 이벤트 데이터 모델의 필드 목록

다음 단계