Schema degli eventi di Google Security Operations

In BigQuery, la tabella events memorizza i record degli eventi UDM.

Il campo hour_time_bucket identifica la partizione come ora del giorno nel metadata.event_timestamp campo UDM. I valori nel campo hour_time_bucket sono timestamp orari che hanno il seguente formato: <AAAA-MM-GG HH:MM:SS UTC>. Ecco alcuni esempi:

• 2022-05-20 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 2022-05-20 02:00:00 UTC
• 2022-05-20 03:00:00 UTC

Ad esempio, il valore 2022-05-20 00:00:00 UTC etichetta i dati con un timestamp event_timestamp compreso tra il 2022-05-20 00:00:00 UTC e il 2022-05-20 00:59:59 UTC. Per ulteriori informazioni, consulta Eseguire query sulle tabelle partizionate.

Il tempo necessario per visualizzare i dati nella tabella events dipende dalla differenza tra il momento in cui il dispositivo registra l'evento, metadata.event_timestamp, e il momento in cui l'evento viene importato nel SIEM di Google Security Operations, metadata.ingested_timestamp.

Di seguito è riportato un riepilogo del tempo necessario per la visualizzazione dei dati nella tabella events dopo che sono stati ricevuti da Google Security Operations:

• Se la differenza è inferiore a due ore, i dati vengono visualizzati circa due ore dopo l'importazione.
• Se la differenza è compresa tra 2 e 24 ore, la visualizzazione dei dati dopo l'importazione potrebbe richiedere fino a 4 ore.
• Se la differenza è superiore a 24 ore, potrebbero essere necessari fino a 5 giorni prima che i dati vengano visualizzati dopo l'importazione.

Lo schema della tabella events cambia regolarmente. Per visualizzare le informazioni sulla tabella, incluso lo schema corrente, consulta le istruzioni di BigQuery per ottenere le informazioni sulla tabella.

Per accedere allo schema events:

1. Apri la console Google Cloud, quindi seleziona l'ID progetto Google Security Operations fornito dal tuo rappresentante di Google Security Operations.

2. Seleziona BigQuery > BigQuery Studio > datalake > events.

   

   Figura: tabella events in BigQuery

Modello dei dati Events per le dashboard

Nelle dashboard incorporate di Google Security Operations, vedrai la struttura di dati denominata UDM Events. Si tratta di un modello dei dati di Looker creato per la tabella events in BigQuery.

La tabella include i campi UDM più utilizzati. Non include tutti i campi UDM. Se mancano campi UDM che devi incorporare in una dashboard personalizzata, contatta il tuo rappresentante di Google Security Operations.

Per visualizzare i campi in questa esplorazione, segui questi passaggi:

1. Nella barra di navigazione, fai clic su Dashboard.
2. Crea una nuova dashboard (fai clic su Aggiungi > Crea nuova) o modifica una dashboard esistente.
3. Aggiungi un riquadro.
4. Se richiesto, seleziona Visualizzazione come tipo.
5. Nell'elenco delle tabelle, seleziona Eventi UDM.

6. Sfoglia l'elenco dei campi.

   

   Figura: elenco dei campi nel modello di dati degli eventi di Google Security Operations

Passaggi successivi

• Visualizza una descrizione di ciascun campo UDM nell'elenco dei campi del modello di dati unificato.
• Per informazioni su come accedere ed eseguire query in BigQuery, consulta Eseguire job di query interattive e in batch.
• Per informazioni su come eseguire query sulle tabelle partizionate, consulta Eseguire query sulle tabelle partizionate.
• Per informazioni su come collegare Looker a BigQuery, consulta la documentazione di Looker sulla connessione a BigQuery.
• Informazioni su come eseguire query sulle tabelle partizionate.