Zeitstempeldefinitionen

Unterstützt in:

In diesem Dokument werden häufige Zeitstempel für Ereignisse und Erkennungen erläutert. Weitere Informationen zu Zeitstempeln finden Sie unter Datumsfunktion.

Die folgenden Zeitstempel beziehen sich auf Ereignisse:

  • Zeitstempel des Ereignisses: Zeitpunkt, zu dem ein Ereignis aufgetreten ist und im UDM-Feld metadata.event_timestamp gespeichert wird. Bei Regeln und UDM-Suchen wird das Feld metadata.event_timestamp für Abfragen verwendet.
  • Zeitstempel der Erfassung: Zeitpunkt, zu dem ein Ereignis von der lokalen Erfassungsinfrastruktur, z. B. dem Forwarder, erfasst wurde. Dieser Wert wird im UDM-Feld metadata.collected_timestamp gespeichert.
  • Zeitstempel für die Aufnahme: Zeitpunkt, zu dem ein Ereignis in Google Security Operations aufgenommen wurde. Dieser Wert wird im UDM-Feld metadata.ingested_timestamp gespeichert.

Die folgenden Zeitstempel werden mit erkannten Ereignissen gespeichert:

  • Erkennungszeitfenster: Für Regeln mit einem match-Abschnitt wird eine Erkennung für den Zeitraum erstellt, der als Erkennungszeitfenster bezeichnet wird. Die Zeitstempel der Ereignisse, die die Erkennung ausgelöst haben, liegen innerhalb des Erkennungszeitfensters.
  • Zeitstempel der Erkennung: Bei Regeln mit einem match-Abschnitt ist der Zeitstempel der Erkennung die Endzeit des Erkennungszeitfensters. Andernfalls ist der Zeitstempel der Erkennung der metadata.event_timestamp des Ereignisses, das die Erkennung ausgelöst hat.
  • Zeitstempel der Erstellung der Erkennung: Datum und Uhrzeit, zu der die Erkennung von der Erkennungs-Engine erstellt wurde.

Wo werden Zeitstempel in der Anwendung angezeigt?

In den folgenden Abschnitten wird beschrieben, wo Sie diese Zeitstempel in der Benutzeroberfläche sehen können.

UDM-Ereignisbetrachter

So öffnen Sie die Ansicht UDM-Ereignis:

  1. Führen Sie eine UDM-Suche aus.
  2. Wählen Sie auf dem Tab Ereignisse ein Ereignis aus, um die Ereignisanzeige zu öffnen.

  3. Im Bereich UDM-Ereignis werden die folgenden Daten angezeigt:

    • Der Zeitstempel des Ereignisses wird im UDM-Feld metadata.event_timestamp (1) gespeichert.
    • Der aufgenommene Zeitstempel wird im UDM-Feld metadata.ingested_timestamp (2) gespeichert.

    UDM-Ereignisansicht

Bereich „Erkennungen“

So öffnen Sie die Ansicht Erkennungen:

  1. Öffnen Sie Erkennungen > Regeln und Erkennungen und klicken Sie dann auf die Schaltfläche Dashboard.

  2. Klicken Sie in der Spalte Regelname auf den Link zum Regelnamen. Der Bereich Erkennungen wird angezeigt und enthält Folgendes:

    • Der Zeitstempel für die Erkennung wird in Zeilen angezeigt, in denen eine Erkennung identifiziert wird (1).
    • Der Zeitstempel für das Ereignis wird in Zeilen angezeigt, in denen Ereignisse identifiziert werden (2).

    Ansicht „Erkennungen“

Benachrichtigungsansicht

So öffnen Sie die Ansicht Benachrichtigung:

  1. Öffnen Sie Erkennungen > Benachrichtigungen und IOCs.
  2. Klicken Sie auf dem Tab Benachrichtigungen in der Spalte Name auf den Link zum Namen der Benachrichtigung.

  3. Klicken Sie auf den Tab Übersicht, um Folgendes aufzurufen:

    • Der Zeitstempel für die erstellte Benachrichtigung (oder Erkennung) wird im Bereich Benachrichtigungsdetails > Feld Erstellt (1) angezeigt.
    • Das Erkennungszeitfenster wird im Bereich Zusammenfassung der Erkennung > Feld Erkennungszeitfenster (2) angezeigt.
    • Der Zeitstempel der Erkennung wird im Bereich Zusammenfassung der Erkennung > Feld Warnmeldungen erkannt um (3) angezeigt.

    Benachrichtigungsansicht

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten