Schema degli eventi di Google Security Operations

In BigQuery, la tabella denominata eventi archivia i record di eventi UDM.

Il campo hour_time_bucket identifica la partizione come l'ora del giorno nella metadata.event_timestamp campo UDM. Valori nel campo hour_time_bucket sono timestamp orari nel formato <AAAA-MM-GG HH:MM:SS UTC>. Ecco alcuni esempi:

• 20-05-2022 00:00:00 UTC
• 20-05-2022 01:00:00 UTC
• 20-05-2022 02:00:00 UTC
• 20-05-2022 03:00:00 UTC

Ad esempio, il valore 2022-05-20 00:00:00 UTC etichetta i dati con un event_timestamp compreso tra 2022-05-20 UTC 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Per ulteriori informazioni, vedi Eseguire query su tabelle partizionate.

Il tempo necessario per visualizzare i dati nella tabella events dipende sulla differenza tra quando il dispositivo registra l'evento, metadata.event_timestamp, e quando l'evento viene importato in Google Security Operations SIEM, metadata.ingested_timestamp.

Di seguito viene riepilogato il tempo necessario per visualizzare i dati nella tabella events dopo essere stati ricevuti da Google Security Operations:

• Se la differenza è inferiore a due ore, i dati verranno visualizzati all'incirca 2 ore dopo l'importazione.
• Se la differenza è compresa tra 2 ore e 24 ore, potrebbero essere necessarie fino a 4 ore per a visualizzare i dati dopo l'importazione.
• Se la differenza è superiore a 24 ore, potrebbero essere necessari fino a 5 giorni prima che i dati dopo l'importazione.

Lo schema della tabella events cambia regolarmente. Per visualizzare le informazioni sulla tabella: incluso lo schema attuale, consulta le istruzioni di BigQuery per ottenere informazioni sulle tabelle.

Per accedere allo schema events, segui questi passaggi:

1. Apri la console Google Cloud e seleziona l'ID progetto Google Security Operations che il rappresentante delle operazioni di sicurezza di Google ti ha fornito.

2. Seleziona BigQuery > BigQuery Studio > datalake > eventi.

   

   Figura: tabella events in BigQuery

Modello dei dati Events per le dashboard

Nelle dashboard incorporate di Google Security Operations noterai la struttura dei dati chiamata Eventi UDM. Questo è un modello dei dati di Looker creato per la tabella events in BigQuery.

La tabella include i campi UDM di uso più comune. Non include tutti i tipi di UDM campi. Se mancano campi UDM, devi averli incorporati in una dashboard personalizzata, contatta il tuo rappresentante Google Security Operations.

Per visualizzare i campi in questa esplorazione, segui questi passaggi:

1. Nella barra di navigazione, fai clic su Dashboard.
2. Crea una nuova dashboard (fai clic su Aggiungi > Crea nuova) o modifica una dashboard esistente.
3. Aggiungi un riquadro.
4. Se richiesto, seleziona Visualizzazione come tipo.
5. Nell'elenco delle tabelle, seleziona Eventi UDM.

6. Scorri l'elenco dei campi.

   

   Figura: elenco dei campi nel modello dei dati degli eventi di Google Security Operations

Passaggi successivi

• Visualizza una descrizione di ogni campo UDM nell'elenco dei campi Modello dati unificato.
• Per informazioni su come accedere ed eseguire query in BigQuery, consulta Eseguire job di query interattivi e batch.
• Per informazioni su come eseguire query su tabelle partizionate, consulta Eseguire query sulle tabelle partizionate.
• Per informazioni su come connettere Looker a BigQuery, consulta la documentazione di Looker sulla connessione a BigQuery.
• Informazioni su come eseguire query su tabelle partizionate.