Schema degli eventi di Google Security Operations
In BigQuery, la tabella denominata eventi archivia i record di eventi UDM.
Il campo hour_time_bucket
identifica la partizione come l'ora del giorno nella
metadata.event_timestamp
campo UDM. Valori nel campo hour_time_bucket
sono timestamp orari nel formato <AAAA-MM-GG HH:MM:SS UTC>. Ecco alcuni esempi:
- 20-05-2022 00:00:00 UTC
- 20-05-2022 01:00:00 UTC
- 20-05-2022 02:00:00 UTC
- 20-05-2022 03:00:00 UTC
Ad esempio, il valore 2022-05-20 00:00:00 UTC etichetta i dati con un event_timestamp compreso tra 2022-05-20 UTC 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Per ulteriori informazioni, vedi Eseguire query su tabelle partizionate.
Il tempo necessario per visualizzare i dati nella tabella events
dipende
sulla differenza tra quando il dispositivo registra l'evento, metadata.event_timestamp
,
e quando l'evento viene importato in Google Security Operations SIEM, metadata.ingested_timestamp
.
Di seguito viene riepilogato il tempo necessario per visualizzare i dati nella tabella events
dopo essere stati ricevuti da Google Security Operations:
- Se la differenza è inferiore a due ore, i dati verranno visualizzati all'incirca 2 ore dopo l'importazione.
- Se la differenza è compresa tra 2 ore e 24 ore, potrebbero essere necessarie fino a 4 ore per a visualizzare i dati dopo l'importazione.
- Se la differenza è superiore a 24 ore, potrebbero essere necessari fino a 5 giorni prima che i dati dopo l'importazione.
Lo schema della tabella events
cambia regolarmente. Per visualizzare le informazioni sulla tabella:
incluso lo schema attuale, consulta le istruzioni di BigQuery per ottenere informazioni sulle tabelle.
Per accedere allo schema events
, segui questi passaggi:
- Apri la console Google Cloud e seleziona l'ID progetto Google Security Operations che il rappresentante delle operazioni di sicurezza di Google ti ha fornito.
Seleziona BigQuery > BigQuery Studio > datalake > eventi.
Figura: tabella
events
in BigQuery
Modello dei dati Events
per le dashboard
Nelle dashboard incorporate di Google Security Operations noterai la struttura dei dati chiamata Eventi UDM.
Questo è un modello dei dati di Looker creato per la tabella events
in BigQuery.
La tabella include i campi UDM di uso più comune. Non include tutti i tipi di UDM campi. Se mancano campi UDM, devi averli incorporati in una dashboard personalizzata, contatta il tuo rappresentante Google Security Operations.
Per visualizzare i campi in questa esplorazione, segui questi passaggi:
- Nella barra di navigazione, fai clic su Dashboard.
- Crea una nuova dashboard (fai clic su Aggiungi > Crea nuova) o modifica una dashboard esistente.
- Aggiungi un riquadro.
- Se richiesto, seleziona Visualizzazione come tipo.
- Nell'elenco delle tabelle, seleziona Eventi UDM.
Scorri l'elenco dei campi.
Figura: elenco dei campi nel modello dei dati degli eventi di Google Security Operations
Passaggi successivi
- Visualizza una descrizione di ogni campo UDM nell'elenco dei campi Modello dati unificato.
- Per informazioni su come accedere ed eseguire query in BigQuery, consulta Eseguire job di query interattivi e batch.
- Per informazioni su come eseguire query su tabelle partizionate, consulta Eseguire query sulle tabelle partizionate.
- Per informazioni su come connettere Looker a BigQuery, consulta la documentazione di Looker sulla connessione a BigQuery.
- Informazioni su come eseguire query su tabelle partizionate.