Définitions des codes temporels

Compatible avec :

Ce document explique les codes temporels courants pour les événements et les détections. Pour en savoir plus sur les codes temporels, consultez Fonction de date.

Les codes temporels suivants sont associés aux événements :

  • Code temporel de l'événement : heure à laquelle un événement s'est produit et qui est stockée dans le champ UDM metadata.event_timestamp. Les règles et les recherches UDM utilisent le champ metadata.event_timestamp pour les requêtes.
  • Horodatage de la collecte : heure à laquelle un événement a été collecté par l'infrastructure de collecte locale, telle que le transmetteur. Cette valeur est stockée dans le champ UDM metadata.collected_timestamp.
  • Horodatage de l'ingestion : heure à laquelle un événement a été ingéré par Google Security Operations. Cette valeur est stockée dans le champ UDM metadata.ingested_timestamp.

Les codes temporels suivants sont stockés avec les détections :

  • Période de détection : pour les règles comportant une section match, une détection est créée sur la période, appelée période de détection. Les codes temporels des événements qui ont déclenché la détection se trouvent dans la période de détection.
  • Code temporel de détection : pour les règles comportant une section match, le code temporel de détection correspond à l'heure de fin de la période de détection. Sinon, le code temporel de détection correspond à metadata.event_timestamp de l'événement qui a généré la détection.
  • Horodatage de création de la détection : date et heure de création de la détection par le moteur de détection.

Où les codes temporels apparaissent-ils dans l'application ?

Les sections suivantes définissent où vous pouvez afficher ces codes temporels dans l'UI.

Visionneuse d'événements UDM

Pour ouvrir la vue Événement UDM, procédez comme suit :

  1. Effectuez une recherche UDM.
  2. Dans l'onglet Événements, sélectionnez un événement pour ouvrir la Visionneuse d'événements.

  3. Le volet Événement UDM affiche les données suivantes :

    • L'horodatage de l'événement est stocké dans le champ UDM metadata.event_timestamp (1).
    • L'horodatage ingéré est stocké dans le champ UDM metadata.ingested_timestamp (2).

    Vue des événements UDM

Panneau "Détections"

Pour ouvrir la vue Détections, procédez comme suit :

  1. Ouvrez Détections > Règles et détections, puis cliquez sur le bouton Tableau de bord.

  2. Cliquez sur le lien du nom de la règle dans la colonne Nom de la règle. Le panneau Détections s'affiche et contient les informations suivantes :

    • L'horodatage de la détection s'affiche dans les lignes qui identifient une détection (1).
    • L'horodatage de l'événement s'affiche dans les lignes qui identifient les événements (2).

    Vue Détections

Vue Alertes

Pour ouvrir la vue Alerte :

  1. Ouvrez Détections > Alertes et IOC.
  2. Dans l'onglet Alertes, cliquez sur le lien du nom de l'alerte dans la colonne Nom.

  3. Cliquez sur l'onglet Vue d'ensemble pour afficher les éléments suivants :

    • Le code temporel de la création de l'alerte (ou de la détection) s'affiche dans le volet Détails de l'alerte > champ Créé (1).
    • La période de détection s'affiche dans le volet Résumé de la détection > champ Période de détection (2).
    • L'horodatage de la détection s'affiche dans le volet Résumé de la détection > champ Alertes détectées à (3).

    Vue Alertes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.