Definições de carimbo de data/hora

Este documento explica os carimbos de data/hora comuns para eventos e detecções. Para mais informações sobre carimbos de data/hora, consulte Função de data.

Os seguintes carimbos de data/hora estão relacionados a eventos:

• Carimbo de data/hora do evento: momento em que um evento ocorreu e foi armazenado no campo metadata.event_timestamp UDM. As regras e as pesquisas de UDM usam o campo metadata.event_timestamp para consultas.
• Carimbo de data/hora da coleta: momento em que um evento foi coletado pela infraestrutura de coleta local, como o encaminhador. Isso é armazenado no campo metadata.collected_timestamp da UDM.
• Carimbo de data/hora ingerido: horário em que um evento foi ingerido pelo Google Security Operations. Isso é armazenado no campo metadata.ingested_timestamp da UDM.

Os seguintes carimbos de data/hora são armazenados com as detecções:

• Janela de detecção: para regras com uma seção match, uma detecção é criada no período, chamada de janela de detecção. Os carimbos de data/hora dos eventos que acionaram a detecção estão dentro da janela de detecção.
• Carimbo de data/hora da detecção: para regras com uma seção match, o carimbo de data/hora da detecção é o horário de término da janela de detecção. Caso contrário, o carimbo de data/hora da detecção será o metadata.event_timestamp do evento que gerou a detecção.
• Carimbo de data/hora da criação da detecção: data e hora em que a detecção foi criada pelo mecanismo de detecção.

Onde os carimbos de data/hora aparecem no aplicativo

As seções a seguir definem onde você pode ver esses carimbos de data/hora na UI.

Visualizador de eventos da UDM

Para abrir a visualização Evento da UDM, faça o seguinte:

1. Faça uma pesquisa de UDM.
2. Na guia Eventos, selecione um evento para abrir o Visualizador de eventos.

3. O painel Evento da UDM mostra os seguintes dados:

   • O carimbo de data/hora do evento é armazenado no campo metadata.event_timestamp da UDM (1).
   • O carimbo de data/hora ingerido é armazenado no campo metadata.ingested_timestamp do UDM (2).

   

Painel de detecções

Para abrir a visualização Detecções, faça o seguinte:

1. Abra Detecções > Regras e detecções e clique no botão Painel.

2. Clique no link do nome da regra na coluna Nome da regra. O painel Detecções aparece e mostra o seguinte:

   • O carimbo de data/hora da detecção aparece nas linhas que identificam uma detecção (1).
   • O carimbo de data/hora do evento aparece nas linhas que identificam eventos (2).

   

Visualização de alertas

Para abrir a visualização Alerta, faça o seguinte:

1. Abra Detecções > Alertas e IOCs.
2. Na guia Alertas, clique no link do nome do alerta na coluna Nome.

3. Clique na guia Visão geral para mostrar o seguinte:

   • O carimbo de data/hora de criação do alerta (ou da detecção) aparece no painel Detalhes do alerta > campo Criado (1).
   • A janela de detecção aparece no painel Resumo da detecção > campo Janela de detecção (2).
   • O carimbo de data/hora da detecção aparece no painel Resumo da detecção > campo Alertas detectados em (3).

   

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.