Google Security Operations のイベント スキーマ

BigQuery では、イベントというテーブルに UDM イベント レコードが格納されます。

hour_time_bucket フィールドは、パーティションを metadata.event_timestamp UDM フィールドで時間として識別します。hour_time_bucket フィールドの値は、<YYYY-MM-DD HH:MM:SS UTC> 形式の 1 時間ごとのタイムスタンプです。次に例を示します。

  • 2022-05-20 00:00:00 UTC
  • 2022-05-20 01:00:00 UTC
  • 2022-05-20 02:00:00 UTC
  • 2022-05-20 03:00:00 UTC

たとえば、値 2022-05-20 00:00:00 UTC は、2022-05-20 00:00:00 UTC から 2022-05-20 00:59:59 UTC までの event_timestamp でデータをラベル付けします。 詳細については、パーティション分割テーブルをクエリするをご覧ください。

events テーブルにデータが表示されるまでにかかる時間は、デバイスがイベントを記録するタイミングと metadata.event_timestamp の差、およびそのイベントが Google Security Operations SIEM metadata.ingested_timestamp に取り込まれるまでの時間によって異なります。

以下は、データが Google Security Operations で受信されてから events テーブルに表示されるまでの時間をまとめたものです。

  • 差が 2 時間未満の場合、データは取り込まれてから約 2 時間後に表示されます。
  • 差が 2 時間から 24 時間の場合、データが取り込まれてからデータが表示されるまでに最大で 4 時間かかる場合があります。
  • 差が 24 時間を超える場合、データが取り込まれてからデータが表示されるまでに最大 5 日かかることがあります。

events テーブル スキーマは定期的に変更されます。現在のスキーマなど、テーブルに関する情報を表示するには、BigQuery のテーブル情報の取得の手順をご覧ください。

events スキーマにアクセスするには、次のようにします。

  1. Google Cloud コンソールを開き、Google Security Operations の担当者から提供され共有された Google Security Operations のプロジェクト ID を選択します。

  2. [BigQuery] > [BigQuery Studio] > [データレイク] > [イベント] を選択します。

    BigQuery のイベント テーブルのフィールドのリスト

    図: BigQuery の events テーブル

ダッシュボードの Events データモデル

Google Security Operations の埋め込みダッシュボードには、UDM Events というデータ構造があります。これは、BigQuery の events テーブル用に作成された Looker データモデルです。

この表には、最も一般的に使用される UDM フィールドが表示されます。すべての UDM フィールドが含まれるわけではありません。パーソナライズされたダッシュボードに組み込む必要がある UDM フィールドが欠落している場合は、Google Security Operations の担当者にお問い合わせください。

この Explore のフィールドを表示するには、次の手順を行います。

  1. ナビゲーション バーで [ダッシュボード] をクリックします。
  2. 新しいダッシュボードを作成する([追加] > [新規作成] をクリック)か、既存のダッシュボードを編集します。
  3. タイルを追加します。
  4. プロンプトが表示されたら、タイプとして [可視化] を選択します。
  5. テーブルのリストで、[UDM Events] を選択します。

  6. フィールドのリストを参照します。

    Google Security Operations ダッシュボードのフィールド リスト

    図: Google Security Operations イベントデータ モデルのフィールド リスト

次のステップ