Definiciones de marcas de tiempo

Compatible con:

En este documento, se explican las marcas de tiempo comunes para los eventos y las detecciones. Para obtener más información sobre las marcas de tiempo, consulta Función de fecha.

Las siguientes marcas de tiempo se relacionan con eventos:

  • Marca de tiempo del evento: Es la hora en la que se produjo un evento y se almacena en metadata.event_timestamp. campo de UDM. Las reglas y las búsquedas de UDM usan el campo metadata.event_timestamp para las consultas.
  • Marca de tiempo recopilada: Hora en la que la colección local recopiló un evento infraestructura, como el servidor de reenvío. Esto se almacena en metadata.collected_timestamp campo de UDM.
  • Marca de tiempo de transferencia: Hora en la que Google Security Operations transfirió un evento. Esto se almacena en el campo de UDM metadata.ingested_timestamp.

Las siguientes marcas de tiempo se almacenan con las detecciones:

  • Ventana de detección: Para las reglas con una sección match, se crea una detección a lo largo del intervalo de tiempo, llamado la ventana de detección. Las marcas de tiempo de los eventos que activaron la detección dentro del período de detección.
  • Marca de tiempo de detección: para las reglas con una sección match, la detección la marca de tiempo es la hora de finalización de la ventana de detección. De lo contrario, la detección la marca de tiempo es el metadata.event_timestamp del evento que generó el de detección de intrusiones.
  • Marca de tiempo de creación de detección: Fecha y hora en que se creó la detección de detección de intrusiones.

Dónde aparecen las marcas de tiempo en la aplicación

En las siguientes secciones, se define dónde puedes ver estas marcas de tiempo en la IU.

Visualizador de eventos de UDM

Para abrir la vista Evento de la AUA, haz lo siguiente:

  1. Realizar una búsqueda de UDM
  2. En la pestaña Eventos, selecciona un evento para abrir la Visualizador de eventos

  3. En el panel Evento de UDM, se muestran los siguientes datos:

    • La marca de tiempo del evento se almacena en el campo de UDM metadata.event_timestamp (1).
    • La marca de tiempo transferida se almacena en el campo UDM metadata.ingested_timestamp (2).

    Vista de eventos de UDM

Panel de detecciones

Para abrir la vista Detections, haz lo siguiente:

  1. Abre Detectaciones > Reglas y Detecciones y, luego, haz clic en el botón Panel.

  2. Haz clic en el vínculo del nombre de la regla que aparece en la columna Nombre de la regla. Aparecerá el panel Detections y se mostrará lo siguiente:

    • La marca de tiempo de la detección aparece en las filas que identifican una detección (1).
    • La marca de tiempo del evento aparece en filas que identifican los eventos (2).

    Vista Detecciones

Vista de alerta

Para abrir la vista de Alerta, haz lo siguiente:

  1. Abre Detecciones > IOC y alertas.
  2. En la pestaña Alertas, haz clic en el vínculo del nombre de la alerta en la columna Nombre.

  3. Haz clic en la pestaña Descripción general para mostrar lo siguiente:

    • La marca de tiempo de creación de la alerta (o detección) aparece en el panel Detalles de la alerta > campo Creada (1).
    • El período de detección aparece en el panel Detection Summary > campo Detection window (2).
    • La marca de tiempo de la detección aparece en el panel Detection Summary > Alertas detectadas en campo (3).

    Vista de alerta