Schéma des événements Google Security Operations

Dans BigQuery, la table events stocke les enregistrements d'événements UDM.

Le champ hour_time_bucket identifie la partition comme étant l'heure de la journée dans le champ UDM metadata.event_timestamp. Les valeurs du champ hour_time_bucket sont des horodatages horaires au format suivant: <YYYY-MM-DD HH:MM:SS UTC>. Voici quelques exemples:

• 20-05-2022 00:00:00 UTC
• 20-05-2022 01:00:00 UTC
• 20-05-2022 02:00:00 UTC
• 20-05-2022 03:00:00 UTC

Par exemple, la valeur 2022-05-20 00:00:00 UTC étiquette les données avec un event_timestamp entre 2022-05-20 00:00:00 UTC et 2022-05-20 00:59:59 UTC. Pour en savoir plus, consultez la page Interroger des tables partitionnées.

Le temps nécessaire pour que les données apparaissent dans la table events dépend de la différence entre le moment où l'appareil enregistre l'événement (metadata.event_timestamp) et le moment où cet événement est ingéré dans la SIEM Google Security Operations (metadata.ingested_timestamp).

Le tableau suivant récapitule le temps nécessaire pour que les données apparaissent dans la table events après leur réception par Google Security Operations:

• Si l'écart est inférieur à deux heures, les données apparaissent environ deux heures après leur ingestion.
• Si l'écart est compris entre 2 heures et 24 heures, l'affichage des données après leur ingestion peut prendre jusqu'à 4 heures.
• Si la différence est supérieure à 24 heures, l'affichage des données après ingestion peut prendre jusqu'à cinq jours.

Le schéma de la table events change régulièrement. Pour afficher des informations sur la table, y compris le schéma actuel, consultez les instructions de BigQuery sur l'obtention d'informations sur la table.

Pour accéder au schéma events, procédez comme suit:

1. Ouvrez la console Google Cloud, puis sélectionnez l'ID du projet Google Security Operations que votre représentant Google Security Operations vous a fourni.

2. Sélectionnez BigQuery > BigQuery Studio > datalake > events.

   

   Figure: Table events dans BigQuery

Modèle de données Events pour les tableaux de bord

Dans les tableaux de bord intégrés Google Security Operations, vous remarquerez la structure de données appelée UDM Events (Événements de l'UDM). Il s'agit d'un modèle de données Looker créé pour la table events dans BigQuery.

Le tableau inclut les champs UDM les plus couramment utilisés. Il n'inclut pas tous les champs UDM. S'il manque des champs UDM que vous devez intégrer à un tableau de bord personnalisé, contactez votre représentant Google Security Operations.

Pour afficher les champs de cette exploration, procédez comme suit:

1. Dans la barre de navigation, cliquez sur Tableaux de bord.
2. Créez un tableau de bord (cliquez sur Ajouter > Créer) ou modifiez un tableau de bord existant.
3. Ajouter une carte
4. Sélectionnez le type Visualisation si vous y êtes invité.
5. Dans la liste des tables, sélectionnez UDM Events (Événements UDM).

6. Parcourez la liste des champs.

   

   Figure: Liste des champs dans le modèle de données des événements Google Security Operations

Étapes suivantes

• Affichez une description de chaque champ UDM dans la liste des champs de modèle de données unifié.
• Pour en savoir plus sur l'accès aux requêtes et leur exécution dans BigQuery, consultez la page Exécuter des tâches de requête interactives et par lot.
• Pour savoir comment interroger des tables partitionnées, consultez Interroger des tables partitionnées.
• Pour en savoir plus sur la connexion de Looker à BigQuery, consultez la documentation de Looker sur la connexion à BigQuery.
• Découvrez comment interroger des tables partitionnées.