Esquema de eventos do Google SecOps

No BigQuery, a tabela denominada events armazena registos de eventos de UDM.

O campo hour_time_bucket identifica a partição como a hora do dia no campo UDM metadata.event_timestamp. Os valores no campo hour_time_bucket são indicações de tempo por hora no formato: <AAAA-MM-DD HH:MM:SS UTC>. Seguem-se alguns exemplos:

• 2022-05-20 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 2022-05-20 02:00:00 UTC
• 2022-05-20 03:00:00 UTC

Por exemplo, o valor 2022-05-20 00:00:00 UTC etiqueta os dados com uma data/hora do evento entre 2022-05-20 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Para mais informações, consulte o artigo Consultar tabelas particionadas.

O tempo necessário para que os dados apareçam na tabela events depende da diferença entre o momento em que o dispositivo regista o evento, o metadata.event_timestamp, e o momento em que esse evento é carregado para o SIEM do Google Security Operations, o metadata.ingested_timestamp.

O seguinte resumo indica o tempo que os dados demoram a aparecer na tabela events depois de serem recebidos pelo Google Security Operations:

• Se a diferença for inferior a duas horas, os dados são apresentados aproximadamente 2 horas após a carregamento.
• Se a diferença for entre 2 e 24 horas, os dados podem demorar até 4 horas a aparecer após o carregamento.
• Se a diferença for superior a 24 horas, os dados podem demorar até 5 dias a ser apresentados após o carregamento.

O esquema da tabela events muda regularmente. Para ver informações sobre a tabela, incluindo o esquema atual, consulte as instruções do BigQuery para obter informações sobre a tabela.

Para aceder ao esquema events, faça o seguinte:

1. Abra a Google Cloud consola e, em seguida, selecione o ID do projeto do Google SecOps que o representante do Google SecOps partilhou consigo.

2. Selecione BigQuery > BigQuery Studio > datalake > events.

   

   Figura: tabela events no BigQuery

Modelo de dados de Events para painéis de controlo

Nos painéis de controlo incorporados do Google SecOps, vai reparar na estrutura de dados denominada Eventos UDM. Este é um modelo de dados do Looker criado para a tabela events no BigQuery.

A tabela inclui os campos da UDM mais usados. Não inclui todos os campos da UDM. Se faltarem campos de UDM que precisa de ter incorporado num painel de controlo personalizado, contacte o seu representante da Google SecOps.

Para ver os campos nesta análise detalhada, siga estes passos:

1. Na barra de navegação, clique em Painéis de controlo.
2. Crie um novo painel de controlo (clique em Adicionar > Criar novo) ou edite um painel de controlo existente.
3. Adicione um cartão.
4. Se lhe for pedido, selecione Visualização como tipo.
5. Na lista de tabelas, selecione Eventos UDM.

6. Procure na lista de campos.

   

   Figura: lista de campos no modelo de dados de eventos do Google SecOps

O que se segue?

• Veja uma descrição de cada campo do UDM na lista de campos do modelo de dados unificado.
• Para informações sobre como aceder e executar consultas no BigQuery, consulte o artigo Execute tarefas de consultas interativas e em lote.
• Para obter informações sobre como consultar tabelas particionadas, consulte o artigo Consulte tabelas particionadas.
• Para obter informações sobre como associar o Looker ao BigQuery, consulte a documentação do Looker sobre a associação ao BigQuery.
• Informações sobre como consultar tabelas particionadas.