Google Security Operations-Ereignisschema

In BigQuery werden UDM-Ereignisdatensätze in der Tabelle events gespeichert.

Das Feld hour_time_bucket identifiziert die Partition als die Stunde des Tages im UDM-Feld metadata.event_timestamp. Die Werte im Feld hour_time_bucket sind stündliche Zeitstempel im Format <TT.MM.JJJJ HH:MM:SS UTC>. Hier einige Beispiele:

• 2022-05-20 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 2022-05-20 02:00:00 UTC
• 2022-05-20 03:00:00 UTC

Mit dem Wert 2022-05-20 00:00:00 UTC werden beispielsweise Daten mit einem „event_timestamp“ zwischen dem 20. Mai 2022 00:00:00 UTC und dem 20. Mai 2022 00:59:59 UTC gekennzeichnet. Weitere Informationen finden Sie unter Partitionierte Tabellen abfragen.

Wie lange es dauert, bis Daten in der Tabelle events angezeigt werden, hängt davon ab, wie viel Zeit zwischen dem Zeitpunkt vergeht, zu dem das Gerät das Ereignis aufzeichnet (metadata.event_timestamp), und dem Zeitpunkt, zu dem das Ereignis in die SIEM-Anwendung von Google Security Operations aufgenommen wird (metadata.ingested_timestamp).

Unten finden Sie eine Zusammenfassung der Zeit, die vergeht, bis Daten in der Tabelle events angezeigt werden, nachdem sie von Google Security Operations empfangen wurden:

• Bei einer Differenz von weniger als zwei Stunden werden die Daten etwa zwei Stunden nach der Datenaufnahme angezeigt.
• Wenn der Unterschied zwischen 2 Stunden und 24 Stunden liegt, kann es nach der Datenaufnahme bis zu 4 Stunden dauern, bis sie angezeigt werden.
• Wenn der Unterschied mehr als 24 Stunden beträgt, kann es nach der Datenaufnahme bis zu fünf Tage dauern, bis sie angezeigt werden.

Das Tabellenschema von events ändert sich regelmäßig. Informationen zur Tabelle, einschließlich des aktuellen Schemas, finden Sie in der BigQuery-Anleitung zum Abrufen von Tabelleninformationen.

So greifen Sie auf das events-Schema zu:

1. Öffnen Sie die Google Cloud Console und wählen Sie die Projekt-ID von Google Security Operations aus, die Ihnen Ihr Ansprechpartner von Google Security Operations mitgeteilt hat.

2. Wählen Sie BigQuery > BigQuery Studio > Datalake > Ereignisse aus.

   

   Abbildung: Tabelle events in BigQuery

Events-Datenmodell für Dashboards

In den eingebetteten Dashboards von Google Security Operations sehen Sie die Datenstruktur UDM-Ereignisse. Dies ist ein Looker-Datenmodell, das für die Tabelle events in BigQuery erstellt wurde.

Die Tabelle enthält die am häufigsten verwendeten UDM-Felder. Es enthält nicht alle UDM-Felder. Wenn UDM-Felder fehlen, die Sie in ein personalisiertes Dashboard einbinden müssen, wenden Sie sich an Ihren Google Security Operations-Ansprechpartner.

So rufen Sie Felder in diesem Explore auf:

1. Klicken Sie in der Navigationsleiste auf Dashboards.
2. Erstellen Sie ein neues Dashboard (klicken Sie auf Hinzufügen > Neu erstellen) oder bearbeiten Sie ein vorhandenes Dashboard.
3. Fügen Sie eine Kachel hinzu.
4. Wählen Sie bei Aufforderung Visualisierung als Typ aus.
5. Wählen Sie in der Liste der Tabellen UDM-Ereignisse aus.

6. Sehen Sie sich die Liste der Felder an.

   

   Abbildung: Feldliste im Google Security Operations-Ereignisdatenmodell

Nächste Schritte

• Eine Beschreibung der einzelnen UDM-Felder finden Sie in der Liste der Felder für einheitliche Datenmodelle.
• Informationen zum Zugriff auf und Ausführen von Abfragen in BigQuery finden Sie unter Interaktive und Batch-Abfragejobs ausführen.
• Informationen zum Abfragen partitionierter Tabellen
• Informationen zum Verbinden von Looker mit BigQuery finden Sie in der Looker-Dokumentation unter Verbindung mit BigQuery herstellen.
• Informationen zum Abfragen partitionierter Tabellen