Skema peristiwa Google SecOps

Di BigQuery, tabel yang disebut events menyimpan data peristiwa UDM.

Kolom hour_time_bucket mengidentifikasi partisi sebagai jam dalam sehari di kolom UDM metadata.event_timestamp. Nilai di kolom hour_time_bucket adalah stempel waktu per jam yang memiliki format: <YYYY-MM-DD HH:MM:SS UTC>. Berikut adalah contohnya:

• 2022-05-20 00.00.00 UTC
• 2022-05-20 01.00.00 UTC
• 2022-05-20 02.00.00 UTC
• 2022-05-20 03.00.00 UTC

Misalnya, nilai 2022-05-20 00:00:00 UTC memberi label pada data dengan stempel waktu peristiwa antara 2022-05-20 00:00:00 UTC dan 2022-05-20 00:59:59 UTC. Untuk mengetahui informasi selengkapnya, lihat Membuat kueri tabel berpartisi.

Jumlah waktu yang diperlukan agar data muncul di tabel events bergantung pada perbedaan antara saat perangkat merekam peristiwa, metadata.event_timestamp, dan saat peristiwa tersebut ditransfer ke SIEM Google Security Operations, metadata.ingested_timestamp.

Berikut adalah ringkasan waktu yang diperlukan agar data muncul di tabel events setelah diterima oleh Google Security Operations:

• Jika perbedaannya kurang dari dua jam, data akan muncul sekitar 2 jam setelah diserap.
• Jika perbedaannya antara 2 jam dan 24 jam, mungkin perlu waktu hingga 4 jam agar data muncul setelah ditransfer.
• Jika perbedaannya lebih dari 24 jam, mungkin perlu waktu hingga 5 hari agar data muncul setelah ditransfer.

Skema tabel events berubah secara berkala. Untuk melihat informasi tentang tabel, termasuk skema saat ini, lihat petunjuk BigQuery untuk mendapatkan informasi tabel.

Untuk mengakses skema events, lakukan hal berikut:

1. Buka Google Cloud konsol, lalu pilih project ID Google SecOps yang diberikan oleh perwakilan Google SecOps kepada Anda.

2. Pilih BigQuery > BigQuery Studio > datalake > events.

   

   Gambar: Tabel events di BigQuery

Model data Events untuk dasbor

Di dasbor tersemat Google SecOps, Anda akan melihat struktur data yang disebut Peristiwa UDM. Ini adalah model data Looker yang dibuat untuk tabel events di BigQuery.

Tabel ini mencakup kolom UDM yang paling umum digunakan. Laporan ini tidak menyertakan semua kolom UDM. Jika ada kolom UDM yang tidak ada dan harus disertakan ke dalam dasbor yang dipersonalisasi, hubungi perwakilan Google SecOps Anda.

Untuk melihat kolom di Jelajahi ini, lakukan langkah-langkah berikut:

1. Di menu navigasi, klik Dasbor.
2. Buat dasbor baru (klik Tambahkan > Buat Baru) atau edit dasbor yang ada.
3. Tambahkan Kartu.
4. Pilih Visualisasi sebagai jenis jika diminta.
5. Dalam daftar tabel, pilih Peristiwa UDM.

6. Jelajahi daftar kolom.

   

   Gambar: Daftar kolom dalam model data Peristiwa Google SecOps

Langkah berikutnya

• Lihat deskripsi setiap kolom UDM di Daftar kolom Model Data Terpadu.
• Untuk mengetahui informasi tentang cara mengakses dan menjalankan kueri di BigQuery, lihat Menjalankan tugas kueri batch dan interaktif.
• Untuk mengetahui informasi tentang cara membuat kueri tabel berpartisi, lihat Membuat kueri tabel berpartisi.
• Untuk mengetahui informasi cara menghubungkan Looker ke BigQuery, lihat dokumentasi Looker tentang menghubungkan ke BigQuery.
• Informasi tentang cara membuat kueri tabel berpartisi.