타임스탬프 정의

이 문서에서는 이벤트 및 감지의 일반적인 타임스탬프를 설명합니다. 타임스탬프에 대한 자세한 내용은 Date 함수를 참조하세요.

다음은 이벤트와 관련된 타임스탬프입니다.

  • 이벤트 타임스탬프: 이벤트가 발생하고 metadata.event_timestamp UDM 필드에 저장된 시간입니다. 규칙 및 UDM 검색에서는 쿼리에 metadata.event_timestamp 필드를 사용합니다.
  • 수집된 타임스탬프: 전달자와 같은 로컬 수집 인프라에서 이벤트를 수집한 시간입니다. 이는 metadata.collected_timestamp UDM 필드에 저장됩니다.
  • 수집된 타임스탬프: Google Security Operations에서 이벤트를 수집한 시간입니다. 이는 metadata.ingested_timestamp UDM 필드에 저장됩니다.

다음 타임스탬프가 감지와 함께 저장됩니다.

  • 감지 기간: match 섹션이 있는 규칙의 경우 감지는 감지 기간이라고 하는 시간 범위에 따라 생성됩니다. 감지를 트리거한 이벤트의 이벤트 타임스탬프는 감지 기간 내에 있습니다.
  • 감지 타임스탬프: match 섹션이 있는 규칙의 경우 감지 타임스탬프는 감지 기간 종료 시간입니다. 그렇지 않은 경우 감지 타임스탬프는 감지를 생성한 이벤트의 metadata.event_timestamp입니다.
  • 감지 생성 타임스탬프: 감지 엔진에서 감지를 만든 날짜와 시간입니다.

애플리케이션에서 타임스탬프가 표시되는 위치

다음 섹션에서는 UI에서 이러한 타임스탬프를 볼 수 있는 위치를 정의합니다.

UDM 이벤트 뷰어

UDM 이벤트 뷰를 열려면 다음을 수행합니다.

  1. UDM 검색을 수행합니다.
  2. 이벤트 탭에서 이벤트를 선택하여 이벤트 뷰어를 엽니다.

  3. UDM 이벤트 창에 다음 데이터가 표시됩니다.

    • 이벤트 타임스탬프는 metadata.event_timestamp UDM 필드에 저장됩니다(1).
    • 수집된 타임스탬프는 metadata.ingested_timestamp UDM 필드에 저장됩니다(2).

    UDM 이벤트 뷰

감지 패널

감지 뷰를 열려면 다음을 수행합니다.

  1. 감지 > 규칙 및 감지를 연 다음 대시보드 버튼을 클릭합니다.

  2. 규칙 이름 열에서 규칙 이름 링크를 클릭합니다. 감지 패널이 나타나고 다음이 표시됩니다.

    • 감지 타임스탬프가 감지를 식별하는 행에 표시됩니다(1).
    • 이벤트 타임스탬프가 이벤트를 식별하는 행에 표시됩니다(2).

    감지 뷰

알림 뷰

알림 뷰를 열려면 다음을 수행합니다.

  1. 감지 > 알림 및 IOC를 엽니다.
  2. 알림 탭의 이름 열에서 알림 이름 링크를 클릭합니다.

  3. 개요 탭을 클릭하여 다음을 표시합니다.

    • 알림(또는 감지) 생성 타임스탬프가 알림 세부정보 창 > 생성됨 필드에 표시됩니다(1).
    • 감지 기간이 감지 요약 창 > 감지 기간 필드에 표시됩니다(2).
    • 감지 타임스탬프가 감지 요약 창 > 다음 위치에서 감지된 알림 필드에 표시됩니다(3).

    알림 뷰