Schema degli eventi di Google Security Operations

In BigQuery, la tabella denominata eventi archivia i record di eventi UDM.

Il campo hour_time_bucket identifica la partizione come ora del giorno nel campo UDM metadata.event_timestamp. I valori nel campo hour_time_bucket sono timestamp orari nel formato <AAAA-MM-GG HH:MM:SS UTC>. Ecco alcuni esempi:

• 20-05-2022 00:00:00 UTC
• 20-05-2022 01:00:00 UTC
• 20-05-2022 02:00:00 UTC
• 20-05-2022 03:00:00 UTC

Ad esempio, il valore 2022-05-20 00:00:00 UTC etichetta i dati con un event_timestamp compreso tra 2022-05-20 UTC 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Per maggiori informazioni, consulta Eseguire query su tabelle partizionate.

Il tempo necessario per la visualizzazione dei dati nella tabella events dipende dalla differenza tra il momento in cui il dispositivo registra l'evento (metadata.event_timestamp) e il momento in cui l'evento viene importato nella SIEM di Google Security Operations (metadata.ingested_timestamp).

Di seguito viene riepilogato il tempo necessario per visualizzare i dati nella tabella events dopo essere stati ricevuti da Google Security Operations:

• Se la differenza è inferiore a due ore, i dati vengono visualizzati circa 2 ore dopo l'importazione.
• Se la differenza è compresa tra 2 e 24 ore, potrebbero essere necessarie fino a 4 ore prima che i dati vengano visualizzati dopo l'importazione.
• Se la differenza è superiore a 24 ore, potrebbero essere necessari fino a 5 giorni prima che i dati vengano visualizzati dopo l'importazione.

Lo schema della tabella events cambia regolarmente. Per visualizzare le informazioni sulla tabella, incluso lo schema attuale, consulta le istruzioni di BigQuery per ottenere le informazioni della tabella.

Per accedere allo schema events, segui questi passaggi:

1. Apri la console Google Cloud, quindi seleziona l'ID progetto Google Security Operations che il rappresentante di Google Security Operations ha condiviso con te.

2. Seleziona BigQuery > BigQuery Studio > datalake > eventi.

   

   Figura: tabella events in BigQuery

Modello dei dati Events per le dashboard

Nelle dashboard incorporate di Google Security Operations noterai la struttura dei dati chiamata Eventi UDM. Questo è un modello dei dati di Looker creato per la tabella events in BigQuery.

La tabella include i campi UDM di uso più comune. Non include tutti i campi UDM. Se mancano campi UDM che devi aver incorporato in una dashboard personalizzata, contatta il tuo rappresentante Google Security Operations.

Per visualizzare i campi in questa esplorazione, segui questi passaggi:

1. Nella barra di navigazione, fai clic su Dashboard.
2. Crea una nuova dashboard (fai clic su Aggiungi > Crea nuova) o modifica una dashboard esistente.
3. Aggiungi un riquadro.
4. Se richiesto, seleziona Visualizzazione come tipo.
5. Nell'elenco delle tabelle, seleziona Eventi UDM.

6. Scorri l'elenco dei campi.

   

   Figura: elenco dei campi nel modello dei dati degli eventi di Google Security Operations

Passaggi successivi

• Visualizza una descrizione di ogni campo UDM nell'elenco dei campi Modello dati unificato.
• Per informazioni su come accedere ed eseguire query in BigQuery, consulta Eseguire job di query interattivi e batch.
• Per informazioni su come eseguire query su tabelle partizionate, consulta Eseguire query sulle tabelle partizionate.
• Per informazioni su come connettere Looker a BigQuery, consulta la documentazione di Looker sulla connessione a BigQuery.
• Informazioni su come eseguire query su tabelle partizionate.