Skema peristiwa Chronicle

Di BigQuery, tabel bernama events menyimpan data peristiwa UDM.

Kolom hour_time_bucket mengidentifikasi partisi sebagai jam dalam kolom UDM metadata.event_timestamp. Nilai di kolom hour_time_bucket adalah stempel waktu per jam yang berbentuk: <YYYY-MM-DD HH:MM:SS UTC>. Berikut contohnya:

• 20-05-2022 00.00.00 UTC
• 20-05-2022 01.00.00 UTC
• 20-05-2022 02.00.00 UTC
• 20-05-2022 03.00.00 UTC

Misalnya, nilai 2022-05-20 00:00:00 UTC memberi label pada data dengan event_timestamp antara 2022-05-20 00:00:00 UTC dan 2022-05-20 00:59:59 UTC. Untuk mengetahui informasi selengkapnya, lihat Membuat kueri tabel yang dipartisi.

Jumlah waktu yang diperlukan agar data muncul di tabel events bergantung pada perbedaan antara saat perangkat merekam peristiwa, metadata.event_timestamp, dan saat peristiwa tersebut diserap ke Chronicle SIEM, metadata.ingested_timestamp.

Tabel berikut merangkum waktu yang diperlukan data untuk muncul di tabel events setelah diterima oleh Chronicle:

• Jika perbedaannya kurang dari dua jam, data akan muncul sekitar 2 jam setelah diserap.
• Jika perbedaannya antara 2 jam dan 24 jam, mungkin perlu waktu hingga 4 jam agar data muncul setelah diserap.
• Jika perbedaannya lebih dari 24 jam, mungkin perlu waktu hingga 5 hari agar data muncul setelah diserap.

Skema tabel events berubah secara rutin. Untuk melihat informasi tentang tabel, termasuk skema saat ini, lihat petunjuk BigQuery untuk mendapatkan informasi tabel.

Untuk mengakses skema events, lakukan hal berikut:

1. Buka konsol Google Cloud, lalu pilih project ID Chronicle yang dibagikan oleh perwakilan Chronicle kepada Anda.

2. Pilih BigQuery > BigQuery Studio > datalake > peristiwa.

   

   Gambar: Tabel events di BigQuery

Model data Events untuk dasbor

Di dasbor tersemat Chronicle, Anda akan melihat struktur data yang disebut Peristiwa UDM. Ini adalah model data Looker yang dibuat untuk tabel events di BigQuery.

Tabel berikut ini berisikan isian UDM yang paling umum digunakan. Ini tidak mencakup semua bidang UDM. Jika ada kolom UDM yang belum disertakan dan harus disertakan ke dalam dasbor yang dipersonalisasi, hubungi perwakilan Chronicle Anda.

Untuk melihat kolom di Explore ini, lakukan langkah-langkah berikut:

1. Pada menu navigasi, klik Dasbor.
2. Buat dasbor baru (klik Tambahkan > Buat Baru) atau edit dasbor yang ada.
3. Menambahkan Kartu.
4. Pilih Visualisasi sebagai jenis jika diminta.
5. Dalam daftar tabel, pilih Peristiwa UDM.

6. Jelajahi daftar kolom.

   

   Gambar: Daftar kolom dalam model data Peristiwa Chronicle

Langkah selanjutnya

• Lihat deskripsi setiap kolom UDM di daftar kolom Model Data Terpadu.
• Untuk mengetahui informasi tentang cara mengakses dan menjalankan kueri di BigQuery, lihat Menjalankan tugas kueri batch dan interaktif.
• Untuk mengetahui informasi tentang cara membuat kueri tabel yang dipartisi, lihat Membuat kueri tabel yang dipartisi.
• Untuk mengetahui informasi tentang cara menghubungkan Looker ke BigQuery, lihat dokumentasi Looker tentang menghubungkan ke BigQuery.
• Informasi tentang cara melakukan kueri pada tabel yang dipartisi.