Definizioni dei timestamp

Supportato in:

Questo documento spiega i timestamp comuni per eventi e rilevamenti. Per saperne di più sui timestamp, consulta Funzione Data.

I seguenti timestamp sono correlati agli eventi:

  • Timestamp evento: l'ora in cui si è verificato un evento e viene memorizzata nel campo UDM metadata.event_timestamp. Le ricerche di regole e UDM utilizzano il campo metadata.event_timestamp per le query.
  • Timestamp di raccolta: ora in cui un evento è stato raccolto dall'infrastruttura di raccolta locale, ad esempio il forwarder. Queste informazioni sono memorizzate nel campo metadata.collected_timestamp UDM.
  • Timestamp di importazione: ora in cui un evento è stato importato da Google Security Operations. Queste informazioni vengono memorizzate nel campo UDM metadata.ingested_timestamp.

I seguenti timestamp vengono archiviati con i rilevamenti:

  • Finestra di rilevamento: per le regole con una sezione match, viene creato un rilevamento nell'intervallo di tempo, chiamato finestra di rilevamento. I timestamp degli eventi che hanno attivato il rilevamento si trovano all'interno della finestra di rilevamento.
  • Timestamp di rilevamento: per le regole con una sezione match, il timestamp di rilevamento è l'ora di fine della finestra di rilevamento. In caso contrario, il timestamp del rilevamento è il metadata.event_timestamp dell'evento che ha generato il rilevamento.
  • Timestamp di creazione del rilevamento: data e ora in cui il rilevamento è stato creato dal motore di rilevamento.

Dove vengono visualizzati i timestamp nell'applicazione

Le sezioni seguenti definiscono dove puoi visualizzare questi timestamp nella UI.

Visualizzatore eventi UDM

Per aprire la visualizzazione Evento UDM:

  1. Esegui una ricerca UDM.
  2. Nella scheda Eventi, seleziona un evento per aprire il Visualizzatore eventi.

  3. Il riquadro Evento UDM mostra i seguenti dati:

    • Il timestamp dell'evento è memorizzato nel campo UDM metadata.event_timestamp (1).
    • Il timestamp inserito viene memorizzato nel campo UDM metadata.ingested_timestamp (2).

    Visualizzazione evento UDM

pannello Rilevamenti

Per aprire la visualizzazione Rilevamenti:

  1. Apri Rilevamenti > Regole e rilevamenti, quindi fai clic sul pulsante Dashboard.

  2. Fai clic sul link del nome della regola nella colonna Nome regola. Viene visualizzato il riquadro Rilevamenti, che mostra quanto segue:

    • Il timestamp di rilevamento viene visualizzato nelle righe che identificano un rilevamento (1).
    • Il timestamp dell'evento viene visualizzato nelle righe che identificano gli eventi (2).

    Visualizzazione Rilevamenti

Visualizzazione avvisi

Per aprire la visualizzazione Avviso:

  1. Apri Rilevamenti > Avvisi e IOC.
  2. Nella scheda Avvisi, fai clic sul link del nome dell'avviso nella colonna Nome.

  3. Fai clic sulla scheda Panoramica per visualizzare quanto segue:

    • Il timestamp di creazione dell'avviso (o del rilevamento) viene visualizzato nel riquadro Dettagli avviso > campo Creato (1).
    • La finestra di rilevamento viene visualizzata nel riquadro Riepilogo rilevamento > campo Finestra di rilevamento (2).
    • Il timestamp di rilevamento viene visualizzato nel riquadro Riepilogo rilevamento > campo Avvisi rilevati alle ore (3).

    Visualizzazione avvisi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.