Google Security Operations 事件架构

在 BigQuery 中，名为 events 的表会存储 UDM 事件记录。

hour_time_bucket 字段将分区标识为 metadata.event_timestamp UDM 字段中的小时。hour_time_bucket 字段中的值是每小时的时间戳，格式为：<YYYY-MM-DD HH:MM:SS UTC>。下面是一些示例：

• 2022-05-20 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 2022-05-20 02:00:00 UTC
• 2022-05-20 03:00:00 UTC

例如，值 2022-05-20 00:00:00 UTC 会将 event_timestamp 介于 2022-05-20 00:00:00 UTC 和 2022-05-20 00:59:59 UTC 之间的数据标记为有效。如需了解详情，请参阅查询分区表。

数据显示在 events 表格中所需的时间取决于设备记录事件的时间 (metadata.event_timestamp) 与该事件提取到 Google Security Operations SIEM 的时间 (metadata.ingested_timestamp) 之间的差异。

下表总结了数据在 Google Security Operations 收到后显示在 events 表中所需的时间：

• 如果差异不到 2 小时，则数据会在大约 2 小时后显示。
• 如果差异介于 2 小时到 24 小时之间，数据在提取后最长可能需要 4 小时才会显示。
• 如果相差超过 24 小时，数据在提取后最长可能需要 5 天才能显示。

events 表架构会定期更改。如需查看表的相关信息（包括当前架构），请参阅 BigQuery 中的获取表信息说明。

如需访问 events 架构，请执行以下操作：

1. 打开 Google Cloud 控制台，然后选择 Google 安全运营代表提供给您的 Google 安全运营项目 ID。

2. 依次选择 BigQuery > BigQuery Studio > datalake > events。

   

   图：BigQuery 中的 events 表

信息中心的 Events 数据模型

在 Google Security Operations 嵌入式信息中心内，您会看到一个名为 UDM 事件的数据结构。这是为 BigQuery 中的 events 表创建的 Looker 数据模型。

下表包含最常用的 UDM 字段。其中不包含所有 UDM 字段。如果您需要将某些 UDM 字段纳入到个性化信息中心，但这些字段缺失，请与您的 Google Security Operations 代表联系。

如需查看此探索中的字段，请执行以下步骤：

1. 在导航栏中，点击信息中心。
2. 创建新信息中心（依次点击添加 > 新建），或修改现有信息中心。
3. 添加功能块。
4. 如果系统提示，请选择可视化图表作为类型。
5. 在表格列表中，选择 UDM 事件。

6. 浏览字段列表。

   

   图：Google Security Operations 事件数据模型中的字段列表

后续步骤

• 如需查看每个 UDM 字段的说明，请参阅统一数据模型字段列表。
• 如需了解如何在 BigQuery 中访问和运行查询，请参阅运行交互式查询作业和批量查询作业。
• 如需了解如何查询分区表，请参阅查询分区表。
• 如需了解如何将 Looker 连接到 BigQuery，请参阅有关连接到 BigQuery 的 Looker 文档。
• 有关如何查询分区表的信息。