時間戳記定義

本文說明事件和偵測的常見時間戳記。如要進一步瞭解時間戳記，請參閱日期函式。

以下時間戳記與事件相關：

• 事件時間戳記：事件發生時間，儲存在 UDM 欄位 metadata.event_timestamp 中。規則和 UDM 搜尋會使用 metadata.event_timestamp 欄位進行查詢。
• 收集時間戳記：事件由本機收集基礎架構 (例如轉送器) 收集的時間。這項資訊會儲存在 metadata.collected_timestamp UDM 欄位中。
• 擷取時間戳記：Google Security Operations 擷取事件的時間。 這項資訊會儲存在 metadata.ingested_timestamp UDM 欄位中。

系統會儲存下列偵測時間戳記：

• 偵測時間範圍：對於含有 match 區段的規則，系統會在時間範圍內建立偵測結果，這個時間範圍稱為「偵測時間範圍」。觸發偵測的事件時間戳記位於偵測時間範圍內。
• 偵測時間戳記：如果規則含有 match 區段，偵測時間戳記就是偵測時間範圍的結束時間。否則，偵測時間戳記就是產生偵測結果的事件 metadata.event_timestamp。
• 偵測建立時間戳記：偵測引擎建立偵測結果的日期和時間。

時間戳記在應用程式中的顯示位置

以下各節說明您可以在 UI 中查看這些時間戳記的位置。

UDM 事件檢視器

如要開啟「UDM Event」(UDM 事件) 檢視畫面，請按照下列步驟操作：

1. 執行 UDM 搜尋。
2. 在「事件」分頁中選取事件，開啟「事件檢視器」

3. 「UDM 事件」窗格會顯示下列資料：

   • 事件時間戳記會儲存在 metadata.event_timestamp UDM 欄位 (1)。
   • 擷取的時間戳記會儲存在 metadata.ingested_timestamp UDM 欄位 (2)。

   

「偵測」面板

如要開啟「偵測」檢視畫面，請按照下列步驟操作：

1. 依序開啟「偵測項目」>「規則與偵測項目」，然後按一下「資訊主頁」按鈕。

2. 按一下「規則名稱」欄下方的規則名稱連結。系統會顯示「偵測」面板，並顯示下列資訊：

   • 偵測時間戳記會顯示在識別偵測結果的資料列中 (1)。
   • 事件時間戳記會顯示在識別事件的資料列中 (2)。

   

快訊檢視畫面

如要開啟「快訊」檢視畫面，請按照下列步驟操作：

1. 依序開啟「偵測」>「快訊與 IOC」。
2. 在「快訊」分頁中，按一下「名稱」欄中的快訊名稱連結。

3. 按一下「總覽」分頁標籤，即可顯示下列資訊：

   • 快訊 (或偵測) 建立時間戳記會顯示在「快訊詳細資料」窗格 >「建立時間」欄位 (1)。
   • 偵測時長會顯示在「偵測摘要」窗格的「偵測時長」欄位 (2)。
   • 偵測時間戳記會顯示在「偵測摘要」窗格 >「偵測到快訊的時間」欄位 (3)。

   

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。