时间戳定义

本文档介绍了事件和检测的常见时间戳。 如需详细了解时间戳，请参阅日期函数。

以下时间戳与事件相关：

• 事件时间戳：事件发生的时间，存储在 metadata.event_timestamp UDM 字段中。规则和 UDM 搜索使用 metadata.event_timestamp 字段进行查询。
• 收集时间戳：本地收集基础架构（例如转发器）收集事件的时间。此信息存储在 metadata.collected_timestamp UDM 字段中。
• 注入时间戳：Google Security Operations 注入事件的时间。 此值存储在 metadata.ingested_timestamp UDM 字段中。

检测结果会随附存储以下时间戳：

• 检测窗口：对于具有 match 部分的规则，系统会在时间范围内创建检测结果，该时间范围称为检测窗口。触发检测的事件的事件时间戳位于检测窗口内。
• 检测时间戳：对于具有 match 部分的规则，检测时间戳是检测窗口的结束时间。否则，检测时间戳是生成检测结果的事件的 metadata.event_timestamp。
• 检测创建时间戳：检测引擎创建检测的日期和时间。

时间戳在应用中的显示位置

以下部分介绍了您可以在界面中的哪些位置查看这些时间戳。

UDM 事件查看器

如需打开 UDM 事件视图，请执行以下操作：

1. 执行 UDM 搜索。
2. 在活动标签页中，选择一个活动以打开活动查看器

3. UDM 事件窗格会显示以下数据：

   • 事件时间戳存储在 metadata.event_timestamp UDM 字段 (1) 中。
   • 提取的时间戳存储在 metadata.ingested_timestamp UDM 字段 (2) 中。

   

“检测”面板

如需打开检测视图，请执行以下操作：

1. 依次打开检测 > 规则和检测，然后点击信息中心按钮。

2. 点击规则名称列下的规则名称链接。系统会显示检测结果面板，其中会显示以下内容：

   • 检测时间戳显示在标识检测结果的行中 (1)。
   • 事件时间戳显示在用于标识事件的行中 (2)。

   

提醒视图

如需打开提醒视图，请执行以下操作：

1. 依次打开检测 > 提醒和 IOC。
2. 在提醒标签页下，点击名称列中的提醒名称链接。

3. 点击概览标签页以显示以下内容：

   • 提醒（或检测）创建时间戳会显示在提醒详情窗格的创建时间字段 (1) 中。
   • 检测窗口显示在检测摘要窗格 > 检测窗口字段 (2) 中。
   • 检测时间戳显示在检测摘要窗格 > 检测到提醒的时间字段 (3) 中。

   

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。