הגדרות של חותמות זמן

נתמך ב:

במסמך הזה מוסבר על חותמות זמן נפוצות של אירועים וזיהויים. מידע נוסף על חותמות זמן זמין במאמר בנושא פונקציית תאריך.

חותמות הזמן הבאות קשורות לאירועים:

  • חותמת זמן של אירוע: השעה שבה התרחש אירוע והוא מאוחסן בשדה metadata.event_timestamp של UDM. השאילתות בכללים ובחיפושים ב-UDM מופיעות בשדה metadata.event_timestamp.
  • חותמת זמן של איסוף: השעה שבה אירוע נאסף על ידי התשתית המקומית לאיסוף, כמו המעביר. הערך הזה מאוחסן בשדה UDM‏ metadata.collected_timestamp.
  • חותמת זמן של קליטת הנתונים: השעה שבה אירוע נקלט על ידי Google Security Operations. הערך הזה מאוחסן בשדה metadata.ingested_timestamp ב-UDM.

חותמות הזמן הבאות מאוחסנות עם הזיהויים:

  • חלון הזיהוי: עבור כללים עם קטע match, נוצר זיהוי בטווח הזמן, שנקרא חלון הזיהוי. חותמות הזמן של האירועים שהפעילו את הזיהוי נמצאות בתוך חלון הזיהוי.
  • חותמת זמן של הזיהוי: בכללים עם קטע match, חותמת הזמן של הזיהוי היא שעת הסיום של חלון הזיהוי. אחרת, חותמת הזמן של הזיהוי היא metadata.event_timestamp של האירוע שיצר את הזיהוי.
  • חותמת הזמן של יצירת הזיהוי: התאריך והשעה שבהם מנוע הזיהוי יצר את הזיהוי.

איפה חותמות הזמן מופיעות באפליקציה

בקטעים הבאים מוסבר איפה אפשר לראות את חותמות הזמן האלה בממשק המשתמש.

כלי לצפייה באירועים ב-UDM

כדי לפתוח את התצוגה UDM Event, מבצעים את הפעולות הבאות:

  1. מבצעים חיפוש ב-UDM.
  2. בכרטיסייה אירועים, בוחרים אירוע כדי לפתוח את מציג האירועים.

  3. בחלונית UDM event מוצגים הנתונים הבאים:

    • חותמת הזמן של האירוע מאוחסנת בשדה metadata.event_timestamp UDM (1).
    • חותמת הזמן של הנתונים שהתקבלו מאוחסנת בשדה metadata.ingested_timestamp UDM‏ (2).

    תצוגת אירועים ב-UDM

החלונית 'זיהויים'

כדי לפתוח את התצוגה Detections:

  1. פותחים את Detections (זיהויים) > Rules & Detections (כללים וזיהויים), ואז לוחצים על הלחצן Dashboard (מרכז בקרה).

  2. לוחצים על הקישור של שם הכלל בעמודה שם הכלל. מופיעה החלונית Detections (זיהויים) עם הפרטים הבאים:

    • חותמת הזמן של הזיהוי מופיעה בשורות שמציינות זיהוי (1).
    • חותמת הזמן של האירוע מופיעה בשורות שמזהות אירועים (2).

    תצוגת זיהויים

תצוגת ההתראה

כדי לפתוח את התצוגה התראה:

  1. פותחים את Detections (זיהויים) > Alerts & IOCs (התראות ואינדיקטורים של פריצות).
  2. בכרטיסייה Alerts (התראות), לוחצים על הקישור של שם ההתראה בעמודה Name (שם).

  3. לוחצים על הכרטיסייה סקירה כללית כדי להציג את הפרטים הבאים:

    • חותמת הזמן של יצירת ההתראה (או הזיהוי) מופיעה בחלונית פרטי ההתראה > בשדה נוצר (1).
    • חלון הזיהוי מופיע בחלונית סיכום הזיהוי > בשדה חלון הזיהוי (2).
    • חותמת הזמן של הזיהוי מופיעה בחלונית Detection Summary (סיכום הזיהוי) > בשדה Alerts detected at (התראות שזוהו בשעה) (3).

    תצוגת ההתראה

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.