時間戳記定義

本文說明事件和偵測事件的常見時間戳記。如要進一步瞭解時間戳記，請參閱「日期函式」。

以下時間戳記與事件相關：

• 事件時間戳記：事件發生的時間，並儲存在 metadata.event_timestamp UDM 欄位中。規則和 UDM 搜尋會使用 metadata.event_timestamp 欄位進行查詢。
• 收集時間戳記：本機收集基礎架構 (例如轉送器) 收集事件的時間。這會儲存在 metadata.collected_timestamp UDM 欄位中。
• 擷取時間戳記：Google Security Operations 擷取事件的時間。這會儲存在 metadata.ingested_timestamp UDM 欄位中。

系統會在偵測到事件時儲存下列時間戳記：

• 偵測時間範圍：如果規則包含 match 部分，系統會在時間範圍內建立偵測項目，稱為偵測時間範圍。觸發偵測事件的事件時間戳記位於偵測時間範圍內。
• 偵測時間戳記：如果規則包含 match 區段，偵測時間戳記即為偵測時間範圍的結束時間。否則，偵測時間戳記就是產生偵測事件的事件 metadata.event_timestamp。
• 偵測建立時間戳記：偵測引擎建立偵測結果的日期和時間。

時間戳記在應用程式中顯示的位置

下列各節將說明如何在 UI 中查看這些時間戳記。

UDM 事件檢視器

如要開啟 UDM 事件檢視畫面，請按照下列步驟操作：

1. 執行 UDM 搜尋。
2. 在「事件」分頁中選取事件，即可開啟「事件檢視器」

3. 「UDM 事件」窗格會顯示以下資料：

   • 事件時間戳記會儲存在 metadata.event_timestamp UDM 欄位 (1) 中。
   • 擷取的時間戳記會儲存在 metadata.ingested_timestamp UDM 欄位 (2) 中。

   

「偵測項目」面板

如要開啟「偵測」檢視畫面，請按照下列步驟操作：

1. 依序開啟「偵測項目」>「規則與偵測項目」，然後按一下「資訊主頁」按鈕。

2. 按一下「規則名稱」欄下方的規則名稱連結。「Detections」面板隨即顯示以下內容：

   • 偵測時間戳記會顯示在標示偵測事件的資料列中 (1)。
   • 事件時間戳記會顯示在標示事件的資料列中 (2)。

   

警告檢視畫面

如要開啟「快訊」檢視畫面，請按照下列步驟操作：

1. 依序開啟「偵測項目」>「快訊與 IOC」。
2. 在「警示」分頁中，按一下「名稱」欄中的警示名稱連結。

3. 按一下「總覽」分頁標籤，即可顯示下列資訊：

   • 快訊 (或偵測) 建立時間戳記會顯示在「快訊詳細資料」窗格 >「建立時間」欄位 (1)。
   • 偵測時長會顯示在「Detection Summary」窗格 >「Detection window」欄位 (2)。
   • 偵測時間戳記會顯示在「Detection Summary」窗格 >「Alerts detected at」欄位 (3)。

   

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。