Schema für Google Security Operations-Ereignisse

In BigQuery werden UDM-Ereignisdatensätze in der Tabelle events gespeichert.

Das Feld hour_time_bucket gibt die Partition als Tageszeit im UDM-Feld metadata.event_timestamp an. Die Werte im Feld hour_time_bucket sind stündliche Zeitstempel im Format <JJJJ-MM-TT HH:MM:SS UTC>. Hier einige Beispiele:

• 20.05.2022 00:00:00 UTC
• 20.05.2022 01:00:00 UTC
• 20.05.2022 02:00:00 UTC
• 20.05.2022 03:00:00 UTC

Beispiel: Durch den Wert 2022-05-20 00:00:00 UTC werden Daten mit einem „event_timestamp“ zwischen dem 20.05.2022 00:00:00 UTC und dem 20.05.2022 00:59:59 UTC gekennzeichnet. Weitere Informationen finden Sie unter Partitionierte Tabellen abfragen.

Wie lange es dauert, bis Daten in der Tabelle events angezeigt werden, hängt von der Differenz zwischen dem Zeitpunkt der Aufzeichnung des Ereignisses (metadata.event_timestamp) und dem Zeitpunkt der Aufnahme dieses Ereignisses in Google Security Operations SIEM (metadata.ingested_timestamp) ab.

Im Folgenden wird zusammengefasst, wie lange es dauert, bis Daten in der Tabelle events angezeigt werden, nachdem sie von Google Security Operations empfangen wurden:

• Wenn die Differenz weniger als zwei Stunden beträgt, werden die Daten etwa zwei Stunden nach der Aufnahme angezeigt.
• Wenn die Differenz zwischen 2 und 24 Stunden liegt, kann es nach der Aufnahme bis zu 4 Stunden dauern, bis die Daten angezeigt werden.
• Wenn die Differenz mehr als 24 Stunden beträgt, kann es nach der Aufnahme bis zu 5 Tage dauern, bis die Daten angezeigt werden.

Das Tabellenschema events wird regelmäßig geändert. Informationen zur Tabelle, einschließlich des aktuellen Schemas, finden Sie in der BigQuery-Anleitung unter Tabelleninformationen abrufen.

So greifen Sie auf das Schema events zu:

1. Öffnen Sie die Google Cloud Console und wählen Sie die Google Security Operations-Projekt-ID aus, die Ihr Google Security Operations-Mitarbeiter für Sie freigegeben hat.

2. Wählen Sie BigQuery > BigQuery Studio > datalake > events aus.

   

   Abbildung: Tabelle events in BigQuery

Events-Datenmodell für Dashboards

In den eingebetteten Dashboards von Google Security Operations sehen Sie die Datenstruktur mit der Bezeichnung UDM-Ereignisse. Dies ist ein Looker-Datenmodell, das für die Tabelle events in BigQuery erstellt wurde.

Die Tabelle enthält die am häufigsten verwendeten UDM-Felder. Es sind nicht alle UDM-Felder enthalten. Wenn UDM-Felder fehlen, die Sie in ein personalisiertes Dashboard integrieren müssen, wenden Sie sich an Ihren Google Security Operations-Ansprechpartner.

Führen Sie die folgenden Schritte aus, um Felder in diesem Explore anzuzeigen:

1. Klicken Sie in der Navigationsleiste auf Dashboards.
2. Erstellen Sie ein neues Dashboard, indem Sie auf Hinzufügen > Neu erstellen klicken, oder bearbeiten Sie ein vorhandenes Dashboard.
3. Ansicht hinzufügen.
4. Wählen Sie als Typ Visualisierung aus, wenn Sie dazu aufgefordert werden.
5. Wählen Sie in der Liste der Tabellen UDM-Ereignisse aus.

6. Gehen Sie die Liste der Felder durch.

   

   Abbildung: Liste der Felder im Datenmodell von Google Security Operations Events

Nächste Schritte

• In der Feldliste für einheitliche Datenmodelle finden Sie eine Beschreibung der einzelnen UDM-Felder.
• Informationen zum Aufrufen und Ausführen von Abfragen in BigQuery finden Sie unter Interaktive und Batch-Abfragejobs ausführen.
• Weitere Informationen zum Abfragen von partitionierten Tabellen finden Sie unter Partitionierte Tabellen abfragen.
• Informationen zum Verbinden von Looker mit BigQuery finden Sie in der Looker-Dokumentation zum Herstellen einer Verbindung mit BigQuery.
• Informationen zum Abfragen von partitionierten Tabellen