Esquema de eventos das Operações de segurança do Google

No BigQuery, a tabela chamada events armazena registros de eventos do UDM.

O campo hour_time_bucket identifica a partição como a hora do dia no campo metadata.event_timestamp de UDM. Os valores no campo hour_time_bucket são carimbos de data/hora por hora que assumem o formato: <YYYY-MM-DD HH:MM:SS UTC>. Veja alguns exemplos:

• 20/05/2022 00:00:00 UTC
• 20/05/2022 01:00:00 UTC
• 20/05/2022 02:00:00 UTC
• 20/05/2022 03:00:00 UTC

Por exemplo, o valor 2022-05-20 00:00:00 UTC rotula os dados com um event_timestamp entre 20/05/2022 00:00:00 UTC e 20/05/2022 00:59:59 UTC. Para mais informações, acesse Consultar tabelas particionadas.

O tempo necessário para que os dados apareçam na tabela events depende da diferença entre o momento em que o dispositivo registra o evento (metadata.event_timestamp) e quando esse evento é ingerido no SIEM das Operações de segurança do Google, o metadata.ingested_timestamp.

A tabela a seguir resume o tempo que leva para os dados aparecerem na tabela events depois de serem recebidos pelas Operações de Segurança do Google:

• Se a diferença for menor que duas horas, os dados aparecerão aproximadamente duas horas após a ingestão.
• Se a diferença estiver entre 2 e 24 horas, pode levar até 4 horas para que os dados apareçam após a ingestão.
• Se a diferença for maior que 24 horas, poderá levar até cinco dias para que os dados apareçam após a ingestão.

O esquema da tabela events muda regularmente. Para informações sobre a tabela, incluindo o esquema atual, consulte as instruções do BigQuery sobre como receber informações da tabela.

Para acessar o esquema events, faça o seguinte:

1. Abra o console do Google Cloud e selecione o ID do projeto do Google Security Operations que seu representante de operações de segurança do Google compartilhou com você.

2. Selecione BigQuery > BigQuery Studio > datalake > events.

   

   Figura: tabela events no BigQuery

Modelo de dados Events para painéis

Nos painéis incorporados do Google Security Operations, você vai notar a estrutura de dados chamada Eventos de UDM. Este é um modelo de dados do Looker criado para a tabela events no BigQuery.

A tabela inclui os campos de UDM mais usados. Ele não inclui todos os campos do UDM. Se houver campos de UDM ausentes que você precisa incorporar em um painel personalizado, entre em contato com seu representante de operações de segurança do Google.

Para conferir os campos nessa Análise, siga estas etapas:

1. Na barra de navegação, clique em Painéis.
2. Crie um novo painel (clique em Adicionar > Criar novo) ou edite um painel existente.
3. Adicionar um Bloco.
4. Se solicitado, selecione Visualização como o tipo.
5. Na lista de tabelas, selecione Eventos de UDM.

6. Procure a lista de campos.

   

   Figura: lista de campos no modelo de dados de eventos de Operações de segurança do Google

A seguir

• Veja uma descrição de cada campo de UDM na lista de campos do Modelo de dados unificado.
• Para informações sobre como acessar e executar consultas no BigQuery, consulte Executar jobs de consulta interativa e em lote.
• Para informações sobre como consultar tabelas particionadas, confira Consultar tabelas particionadas.
• Para saber como conectar o Looker ao BigQuery, consulte a documentação do Looker sobre como se conectar ao BigQuery.
• Informações sobre como consultar tabelas particionadas.