Schéma des événements Google Security Operations

Dans BigQuery, la table events stocke les enregistrements d'événements UDM.

Le champ hour_time_bucket identifie la partition comme l'heure de la journée dans le champ UDM metadata.event_timestamp. Les valeurs du champ hour_time_bucket sont des codes temporels horaires qui prennent la forme <AAAA-MM-JJ HH:MM:SS UTC>. Voici quelques exemples :

• 2022-05-20 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 2022-05-20 02:00:00 UTC
• 2022-05-20 03:00:00 UTC

Par exemple, la valeur 2022-05-20 00:00:00 UTC permet d'étiqueter les données avec un événement_code temporel compris entre le 20/05/2022 00:00:00 UTC et le 20/05/2022 00:59:59 UTC. Pour en savoir plus, consultez la section Interroger des tables partitionnées.

Le temps nécessaire pour que les données apparaissent dans le tableau events dépend de la différence entre le moment où l'appareil enregistre l'événement (metadata.event_timestamp) et celui où cet événement est ingéré dans le SIEM Google Security Operations (metadata.ingested_timestamp).

Le tableau suivant récapitule le temps nécessaire pour que les données apparaissent dans le tableau events après avoir été reçues par Google Security Operations:

• Si la différence est inférieure à deux heures, les données apparaissent environ deux heures après leur ingestion.
• Si la différence est comprise entre deux et 24 heures, l'affichage des données peut prendre jusqu'à quatre heures après leur ingestion.
• Si la différence est supérieure à 24 heures, l'affichage des données peut prendre jusqu'à cinq jours après leur ingestion.

Le schéma de la table events change régulièrement. Pour afficher des informations sur la table, y compris le schéma actuel, consultez les instructions BigQuery pour obtenir des informations sur la table.

Pour accéder au schéma events, procédez comme suit:

1. Ouvrez la console Google Cloud, puis sélectionnez l'ID de projet Google Security Operations que votre représentant Google Security Operations vous a communiqué.

2. Sélectionnez BigQuery > BigQuery Studio > datalake > événements.

   

   Figure: Table events dans BigQuery

Modèle de données Events pour les tableaux de bord

Dans les tableaux de bord intégrés de Google Security Operations, vous remarquerez la structure de données appelée Événements UDM. Il s'agit d'un modèle de données Looker créé pour la table events dans BigQuery.

Le tableau inclut les champs UDM les plus couramment utilisés. Il n'inclut pas tous les champs UDM. Si des champs UDM sont manquants et que vous devez les intégrer à un tableau de bord personnalisé, contactez votre représentant Google Security Operations.

Pour afficher les champs de cette exploration, procédez comme suit:

1. Dans la barre de navigation, cliquez sur Tableaux de bord.
2. Créez un tableau de bord (cliquez sur Ajouter > Créer) ou modifiez un tableau de bord existant.
3. Ajoutez une carte.
4. Sélectionnez Visualisation comme type si vous y êtes invité.
5. Dans la liste des tables, sélectionnez Événements UDM.

6. Parcourez la liste des champs.

   

   Figure: Liste des champs dans le modèle de données des événements Google Security Operations

Étape suivante

• Consultez la description de chaque champ UDM dans la liste des champs du modèle de données unifié.
• Pour en savoir plus sur l'accès et l'exécution de requêtes dans BigQuery, consultez Exécuter des tâches de requête interactives et par lot.
• Pour en savoir plus sur l'interrogation des tables partitionnées, consultez la section Interroger des tables partitionnées.
• Pour savoir comment connecter Looker à BigQuery, consultez la documentation Looker sur la connexion à BigQuery.
• Informations sur l'interrogation de tables partitionnées.