Esquema de eventos de Google SecOps

En BigQuery, la tabla llamada events almacena registros de eventos de UDM.

El campo hour_time_bucket identifica la partición como la hora del día en el campo metadata.event_timestamp UDM. Los valores del campo hour_time_bucket son marcas de tiempo por horas que tienen el formato <AAAA-MM-DD HH:MM:SS UTC>. Aquí tienes algunos ejemplos:

• 2022-05-20 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 2022-05-20 02:00:00 UTC
• 2022-05-20 03:00:00 UTC

Por ejemplo, el valor 2022-05-20 00:00:00 UTC etiqueta los datos con un event_timestamp entre el 2022-05-20 00:00:00 UTC y el 2022-05-20 00:59:59 UTC. Para obtener más información, consulta Consultar tablas con particiones.

El tiempo que tardan en aparecer los datos en la tabla events depende de la diferencia entre el momento en que el dispositivo registra el evento, metadata.event_timestamp, y el momento en que se ingiere ese evento en el SIEM de Google Security Operations, metadata.ingested_timestamp.

A continuación, se resume el tiempo que tardan en aparecer los datos en la tabla events después de que Google Security Operations los reciba:

• Si la diferencia es inferior a dos horas, los datos aparecerán aproximadamente dos horas después de que se ingieran.
• Si la diferencia es de entre 2 y 24 horas, los datos pueden tardar hasta 4 horas en aparecer después de la ingestión.
• Si la diferencia es de más de 24 horas, los datos pueden tardar hasta 5 días en aparecer después de ingerirse.

El events esquema de la tabla cambia con regularidad. Para ver información sobre la tabla, incluido el esquema actual, consulta las instrucciones de BigQuery para obtener información de la tabla.

Para acceder al esquema events, sigue estos pasos:

1. Abre la Google Cloud consola y, a continuación, selecciona el ID del proyecto de Google SecOps que te haya proporcionado tu representante de Google SecOps.

2. Selecciona BigQuery > BigQuery Studio > datalake > events.

   

   Ilustración: tabla events en BigQuery

Events modelo de datos para los paneles de control

En los paneles de control insertados de Google SecOps, verás la estructura de datos llamada Eventos UDM. Se trata de un modelo de datos de Looker creado para la tabla events de BigQuery.

La tabla incluye los campos de UDM más utilizados. No incluye todos los campos de UDM. Si faltan campos de UDM que necesitas incorporar a un panel de control personalizado, ponte en contacto con tu representante de Google SecOps.

Para ver los campos de este Exploración, sigue estos pasos:

1. En la barra de navegación, haz clic en Paneles de control.
2. Cree un panel de control (haga clic en Añadir > Crear nuevo) o edite uno que ya tenga.
3. Añade una tarjeta.
4. Si se te pide, selecciona el tipo Visualización.
5. En la lista de tablas, seleccione Eventos de UDM.

6. Desplázate por la lista de campos.

   

   Ilustración: Lista de campos del modelo de datos de eventos de Google SecOps

Siguientes pasos

• Consulta una descripción de cada campo de UDM en la lista de campos de modelo de datos unificado.
• Para obtener información sobre cómo acceder a BigQuery y ejecutar consultas en esta herramienta, consulta Ejecutar tareas de consulta interactivas y por lotes.
• Para obtener información sobre cómo consultar tablas con particiones, consulta Consultar tablas con particiones.
• Para obtener información sobre cómo conectar Looker a BigQuery, consulte la documentación de Looker sobre cómo conectarse a BigQuery.
• Información sobre cómo consultar tablas con particiones.