Definiciones de marcas de tiempo

Compatible con:

En este documento, se explican las marcas de tiempo comunes para los eventos y las detecciones. Para obtener más información sobre las marcas de tiempo, consulta Función de fecha.

Las siguientes marcas de tiempo se relacionan con eventos:

  • Marca de tiempo del evento: Es la fecha y hora en que ocurrió un evento y se almacena en el campo metadata.event_timestamp del UDM. Las reglas y las búsquedas de UDM usan el campo metadata.event_timestamp para las consultas.
  • Marca de tiempo de recopilación: Es la fecha y hora en la que la infraestructura de recopilación local, como el reenviador, recopiló un evento. Este valor se almacena en el campo metadata.collected_timestamp del UDM.
  • Marca de tiempo de la transferencia: Es la fecha y hora en que Google Security Operations transfirió un evento. Este valor se almacena en el campo metadata.ingested_timestamp del UDM.

Las siguientes marcas de tiempo se almacenan con las detecciones:

  • Período de detección: Para las reglas con una sección match, se crea una detección durante el período, llamado período de detección. Las marcas de tiempo de los eventos que activaron la detección se encuentran dentro del período de detección.
  • Marca de tiempo de detección: Para las reglas con una sección match, la marca de tiempo de detección es la hora de finalización del período de detección. De lo contrario, la marca de tiempo de detección es el metadata.event_timestamp del evento que generó la detección.
  • Marca de tiempo de creación de la detección: Fecha y hora en que el motor de detección creó la detección.

Dónde aparecen las marcas de tiempo en la aplicación

En las siguientes secciones, se define dónde puedes ver estas marcas de tiempo en la IU.

Visualizador de eventos de UDM

Para abrir la vista Evento de UDM, haz lo siguiente:

  1. Realiza una búsqueda de UDM.
  2. En la pestaña Eventos, selecciona un evento para abrir el Visualizador de eventos.

  3. En el panel Evento del UDM, se muestran los siguientes datos:

    • La marca de tiempo del evento se almacena en el campo metadata.event_timestamp del UDM (1).
    • La marca de tiempo ingerida se almacena en el campo metadata.ingested_timestamp del UDM (2).

    Vista de eventos de UDM

Panel de Detecciones

Para abrir la vista Detecciones, haz lo siguiente:

  1. Abre Detecciones > Reglas y detecciones y, luego, haz clic en el botón Panel.

  2. Haz clic en el vínculo del nombre de la regla en la columna Nombre de la regla. Aparecerá el panel Detecciones, en el que se mostrará lo siguiente:

    • La fecha y hora de detección aparece en las filas que identifican una detección (1).
    • La marca de tiempo del evento aparece en las filas que identifican eventos (2).

    Vista de Detecciones

Vista de alerta

Para abrir la vista Alerta, haz lo siguiente:

  1. Abre Detections > Alerts & IOCs.
  2. En la pestaña Alertas, haz clic en el vínculo del nombre de la alerta en la columna Nombre.

  3. Haz clic en la pestaña Descripción general para mostrar lo siguiente:

    • La marca de tiempo de la alerta (o detección) creada aparece en el panel Detalles de la alerta > campo Creada (1).
    • El período de detección aparece en el panel Detection Summary > campo Detection window (2).
    • La marca de tiempo de detección aparece en el panel Detection Summary > campo Alerts detected at (3).

    Vista de alerta

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.