Baixar eventos

É possível mostrar e baixar um grande número de eventos associados a cada detecção de ameaça. Isso permite pesquisar em um amplo conjunto de dados armazenados na sua conta do Google Security Operations para encontrar problemas de segurança.

Mostrar e fazer o download de eventos

Siga estas etapas para mostrar e baixar os eventos associados a uma detecção:

1. Na barra de navegação, clique em Detecção > Regras e detecções.

2. Clique na guia Painel de regras.

   Painel de regras

3. Clique em uma regra para abrir a visualização "Detecções de regras".

4. Selecione uma detecção na lista e clique na seta ao lado dela para abrir a lista de eventos de amostra. Cada variável de evento em uma regra pode mostrar até 10 eventos de amostra. Por exemplo, uma regra com duas variáveis de evento ($e1, $e2) pode mostrar até 20 amostras no total. As amostras que excederem esse limite serão ocultadas na página Detecções, mas serão incluídas se você clicar em Fazer o download de tudo para ver os eventos do Modelo de dados unificado (UDM) associados à sua detecção.

A opção Fazer o download como CSV aparece se exemplos de eventos foram omitidos da sua detecção. É possível baixar no máximo 100.000 eventos. As amostras de eventos são classificadas por carimbo de data/hora na UI. O Google não garante a classificação de amostras de eventos ao ler detecções das APIs do Chronicle.

Opcional: clique em view_column Colunas para adicionar mais campos à lista de eventos de amostra. Esses campos também são incluídos no CSV baixado.

1. Clique no link Fazer o download como CSV. As amostras de eventos são baixadas como um arquivo CSV, que pode ser aberto na maioria dos aplicativos de planilha.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.