Definizioni dei timestamp

Supportato in:

Questo documento illustra i timestamp più comuni per eventi e rilevamenti. Per ulteriori informazioni sui timestamp, consulta la sezione Funzione data.

I seguenti timestamp sono relativi agli eventi:

  • Timestamp dell'evento: l'ora in cui si è verificato un evento e che viene memorizzata nel campo metadata.event_timestamp UDM. Le regole e le ricerche UDM utilizzano il campo metadata.event_timestamp per le query.
  • Timestamp raccolto: data e ora in cui un evento è stato raccolto dalla raccolta locale dell'infrastruttura, come il servizio di forwarding. Queste informazioni vengono memorizzate nell'metadata.collected_timestamp campo UDM.
  • Timestamp importato: data e ora in cui un evento è stato importato da Google Security Operations. Questo valore viene archiviato nel campo UDM metadata.ingested_timestamp.

I seguenti timestamp vengono archiviati insieme ai rilevamenti:

  • Finestra di rilevamento: per le regole con una sezione match, viene creato un rilevamento nell'intervallo di tempo, la finestra di rilevamento. I timestamp degli eventi che hanno attivato il rilevamento rientrano nella finestra di rilevamento.
  • Timestamp del rilevamento: per le regole con una sezione match, il timestamp del rilevamento corrisponde alla data e all'ora di fine della finestra di rilevamento. Altrimenti, il rilevamento il timestamp è il metadata.event_timestamp dell'evento che ha generato il rilevamento automatico.
  • Timestamp di creazione del rilevamento: data e ora in cui il rilevamento è stato creato dal motore di rilevamento.

Dove vengono visualizzati i timestamp nell'applicazione

Le sezioni seguenti definiscono dove puoi visualizzare questi timestamp nella UI.

Visualizzatore eventi UDM

Per aprire la visualizzazione Evento UDM:

  1. Esegui una ricerca UDM.
  2. Nella scheda Eventi, seleziona un evento per aprire il Visualizzatore evento

  3. Il riquadro Evento UDM mostra i seguenti dati:

    • Il timestamp dell'evento viene memorizzato nel campo UDM metadata.event_timestamp (1).
    • Il timestamp importato viene memorizzato nel campo UDM metadata.ingested_timestamp (2).

    Visualizzazione evento UDM

Riquadro Rilevamenti

Per aprire la vista Rilevamenti, procedi nel seguente modo:

  1. Apri Rilevamenti > Regole e Rilevamenti, quindi fai clic sul pulsante Dashboard.

  2. Fai clic sul link con il nome della regola nella colonna Nome regola. Viene visualizzato il riquadro Rilevamento, che mostra quanto segue:

    • Il timestamp del rilevamento viene visualizzato nelle righe che identificano un rilevamento (1).
    • Il timestamp dell'evento viene visualizzato nelle righe che identificano gli eventi (2).

    Vista Rilevamenti

Visualizzazione avviso

Per aprire la vista Avviso:

  1. Apri Rilevamento > Avvisi e IOC.
  2. Nella scheda Avvisi, fai clic sul link con il nome dell'avviso nella colonna Nome.

  3. Fai clic sulla scheda Panoramica per visualizzare quanto segue:

    • Il timestamp di creazione dell'avviso (o del rilevamento) viene visualizzato nel riquadro Dettagli avviso > campo Creato (1).
    • Nel riquadro Riepilogo rilevamento viene visualizzata la finestra di rilevamento > Campo Finestra di rilevamento (2).
    • Il timestamp del rilevamento visualizzato si trova nel riquadro Riepilogo del rilevamento > Avvisi rilevati nel campo (3).

    Visualizzazione Avviso