Esquema de eventos do Google SecOps

No BigQuery, a tabela events armazena registros de eventos do UDM.

O campo hour_time_bucket identifica a partição como a hora do dia no campo UDM metadata.event_timestamp. Os valores no campo hour_time_bucket são carimbos de data/hora de hora em hora que têm o formato: <YYYY-MM-DD HH:MM:SS UTC>. Confira alguns exemplos:

• 2022-05-20 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 20/05/2022 02:00:00 UTC
• 20-05-2022 03:00:00 UTC

Por exemplo, o valor 2022-05-20 00:00:00 UTC rotula os dados com um event_timestamp entre 2022-05-20 00:00:00 UTC e 2022-05-20 00:59:59 UTC. Para mais informações, consulte Consultar tabelas particionadas.

O tempo que os dados levam para aparecer na tabela events depende da diferença entre o momento em que o dispositivo registra o evento, o metadata.event_timestamp, e o momento em que esse evento é transferido para o SIEM do Google Security Operations, o metadata.ingested_timestamp.

Confira a seguir o tempo que os dados levam para aparecer na tabela events depois de serem recebidos pelo Google Security Operations:

• Se a diferença for menor que duas horas, os dados vão aparecer aproximadamente duas horas após a transferência.
• Se a diferença for entre 2 e 24 horas, pode levar até 4 horas para os dados aparecerem após a transferência.
• Se a diferença for maior que 24 horas, pode levar até cinco dias para que os dados apareçam depois da ingestão.

O esquema da tabela events muda regularmente. Para conferir informações sobre a tabela, incluindo o esquema atual, consulte as instruções do BigQuery para consultar informações da tabela.

Para acessar o esquema events, faça o seguinte:

1. Abra o console Google Cloud e selecione o ID do projeto do Google SecOps que o representante do Google SecOps compartilhou com você.

2. Selecione BigQuery > BigQuery Studio > data lake > eventos.

   

   Figura: tabela events no BigQuery

Modelo de dados Events para painéis

Nos painéis incorporados do Google SecOps, você vai notar a estrutura de dados chamada Eventos do UDM. Este é um modelo de dados do Looker criado para a tabela events no BigQuery.

A tabela inclui os campos de UDM mais usados. Ele não inclui todos os campos do UDM. Se houver campos de UDM ausentes que precisam ser incorporados a um painel personalizado, entre em contato com seu representante do Google SecOps.

Para acessar os campos nesta Análise detalhada, siga estas etapas:

1. Na barra de navegação, clique em Painéis.
2. Crie um painel (clique em Adicionar > Criar novo) ou edite um painel existente.
3. Adicione um bloco.
4. Selecione Visualização como o tipo, se solicitado.
5. Na lista de tabelas, selecione Eventos do UDM.

6. Navegue pela lista de campos.

   

   Figura: lista de campos no modelo de dados de eventos do Google SecOps

A seguir

• Confira uma descrição de cada campo da UDM na Lista de campos do Modelo de Dados Unificado.
• Para informações sobre como acessar e executar consultas no BigQuery, consulte Executar jobs de consulta interativa e em lote.
• Para saber como consultar tabelas particionadas, consulte Consultar tabelas particionadas.
• Para saber como conectar o Looker ao BigQuery, consulte a documentação do Looker sobre como se conectar ao BigQuery.
• Informações sobre como consultar tabelas particionadas.