Schéma des événements Google Security Operations

Dans BigQuery, la table events stocke les enregistrements d'événements UDM.

Le champ hour_time_bucket identifie la partition comme l'heure de la journée dans le champ UDM metadata.event_timestamp. Valeurs du champ hour_time_bucket sont des horodatages horaires au format suivant: <AAAA-MM-JJ HH:MM:SS UTC>. Voici quelques exemples:

• 2022-05-20 00:00:00 UTC
• 20-05-2022 01:00:00 UTC
• 20-05-2022 02:00:00 UTC
• 20-05-2022 03:00:00 UTC

Par exemple, la valeur 2022-05-20 00:00:00 UTC permet d'étiqueter les données avec un événement_code temporel compris entre le 20/05/2022 00:00:00 UTC et le 20/05/2022 00:59:59 UTC. Pour en savoir plus, consultez la section Interroger des tables partitionnées.

Le temps nécessaire pour que les données apparaissent dans le tableau events dépend de la différence entre le moment où l'appareil enregistre l'événement (metadata.event_timestamp) et celui où cet événement est ingéré dans le SIEM Google Security Operations (metadata.ingested_timestamp).

Le tableau suivant récapitule le temps nécessaire pour que les données apparaissent dans la table events après leur réception par Google Security Operations:

• Si la différence est inférieure à deux heures, les données apparaissent environ deux heures après leur ingestion.
• Si la différence est comprise entre 2 heures et 24 heures, cela peut prendre jusqu'à 4 heures pour d'afficher les données après leur ingestion.
• Si la différence est supérieure à 24 heures, l'affichage des données peut prendre jusqu'à cinq jours après leur ingestion.

Le schéma de la table events change régulièrement. Pour afficher des informations sur la table, y compris le schéma actuel, consultez les instructions BigQuery pour obtenir des informations sur la table.

Pour accéder au schéma events, procédez comme suit :

1. Ouvrez la console Google Cloud, puis sélectionnez l'ID de projet Google Security Operations que votre représentant Google Security Operations vous a communiqué.

2. Sélectionnez BigQuery > BigQuery Studio > datalake > événements.

   

   Figure: Table events dans BigQuery

Modèle de données Events pour les tableaux de bord

Dans les tableaux de bord intégrés de Google Security Operations, vous remarquerez la structure de données appelée Événements UDM. Il s'agit d'un modèle de données Looker créé pour la table events dans BigQuery.

Le tableau inclut les champs UDM les plus couramment utilisés. Il n'inclut pas tous les UDM . S'il manque des champs UDM que vous devez incorporer dans un tableau de bord personnalisé, contactez votre représentant Google Security Operations.

Pour afficher les champs de cette exploration, procédez comme suit:

1. Dans la barre de navigation, cliquez sur Tableaux de bord.
2. Créez un tableau de bord (cliquez sur Ajouter > Créer) ou modifiez un tableau de bord existant.
3. Ajouter une carte
4. Sélectionnez le type Visualisation si vous y êtes invité.
5. Dans la liste des tables, sélectionnez UDM Events (Événements UDM).

6. Parcourez la liste des champs.

   

   Figure : Liste des champs dans le modèle de données des événements Google Security Operations

Étape suivante

• Affichez une description de chaque champ UDM dans la liste des champs de modèle de données unifié.
• Pour en savoir plus sur l'accès aux requêtes et leur exécution dans BigQuery, consultez la page Exécuter des tâches de requête interactives et par lot.
• Pour en savoir plus sur l'interrogation des tables partitionnées, consultez la section Interroger des tables partitionnées.
• Pour en savoir plus sur la connexion de Looker à BigQuery, consultez la documentation de Looker sur la connexion à BigQuery.
• Découvrez comment interroger des tables partitionnées.