Schema degli eventi di Google Security Operations
In BigQuery, la tabella denominata eventi archivia i record di eventi UDM.
Il campo hour_time_bucket
identifica la partizione come ora del giorno nel campo UDM metadata.event_timestamp
. I valori nel campo hour_time_bucket sono timestamp orari nel formato <AAAA-MM-GG HH:MM:SS UTC>. Ecco alcuni esempi:
- 20-05-2022 00:00:00 UTC
- 20-05-2022 01:00:00 UTC
- 20-05-2022 02:00:00 UTC
- 20-05-2022 03:00:00 UTC
Ad esempio, il valore 2022-05-20 00:00:00 UTC etichetta i dati con un event_timestamp compreso tra 2022-05-20 UTC 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Per maggiori informazioni, consulta Eseguire query su tabelle partizionate.
Il tempo necessario per la visualizzazione dei dati nella tabella events
dipende dalla differenza tra il momento in cui il dispositivo registra l'evento (metadata.event_timestamp
) e il momento in cui l'evento viene importato nella SIEM di Google Security Operations (metadata.ingested_timestamp
).
Di seguito viene riepilogato il tempo necessario per visualizzare i dati nella tabella events
dopo essere stati ricevuti da Google Security Operations:
- Se la differenza è inferiore a due ore, i dati vengono visualizzati circa 2 ore dopo l'importazione.
- Se la differenza è compresa tra 2 e 24 ore, potrebbero essere necessarie fino a 4 ore prima che i dati vengano visualizzati dopo l'importazione.
- Se la differenza è superiore a 24 ore, potrebbero essere necessari fino a 5 giorni prima che i dati vengano visualizzati dopo l'importazione.
Lo schema della tabella events
cambia regolarmente. Per visualizzare le informazioni sulla tabella, incluso lo schema attuale, consulta le istruzioni di BigQuery per ottenere le informazioni della tabella.
Per accedere allo schema events
, segui questi passaggi:
- Apri la console Google Cloud, quindi seleziona l'ID progetto Google Security Operations che il rappresentante di Google Security Operations ha condiviso con te.
Seleziona BigQuery > BigQuery Studio > datalake > eventi.
Figura: tabella
events
in BigQuery
Modello dei dati Events
per le dashboard
Nelle dashboard incorporate di Google Security Operations noterai la struttura dei dati chiamata Eventi UDM.
Questo è un modello dei dati di Looker creato per la tabella events
in BigQuery.
La tabella include i campi UDM di uso più comune. Non include tutti i campi UDM. Se mancano campi UDM che devi aver incorporato in una dashboard personalizzata, contatta il tuo rappresentante Google Security Operations.
Per visualizzare i campi in questa esplorazione, segui questi passaggi:
- Nella barra di navigazione, fai clic su Dashboard.
- Crea una nuova dashboard (fai clic su Aggiungi > Crea nuova) o modifica una dashboard esistente.
- Aggiungi un riquadro.
- Se richiesto, seleziona Visualizzazione come tipo.
- Nell'elenco delle tabelle, seleziona Eventi UDM.
Scorri l'elenco dei campi.
Figura: elenco dei campi nel modello dei dati degli eventi di Google Security Operations
Passaggi successivi
- Visualizza una descrizione di ogni campo UDM nell'elenco dei campi Modello dati unificato.
- Per informazioni su come accedere ed eseguire query in BigQuery, consulta Eseguire job di query interattivi e batch.
- Per informazioni su come eseguire query su tabelle partizionate, consulta Eseguire query sulle tabelle partizionate.
- Per informazioni su come connettere Looker a BigQuery, consulta la documentazione di Looker sulla connessione a BigQuery.
- Informazioni su come eseguire query su tabelle partizionate.