功能弃用
The Google Cloud Platform 服务条款(第 1.4(d) 条,“服务终止”)定义了适用于 Google Security Operations的弃用政策。该弃用政策仅适用于其中列出的服务、功能或产品。
在某种服务、功能或产品正式弃用后,至少在服务条款中所规定的时间段内仍可继续使用。超过该时间段之后,相应服务将按计划关停。
下表列出了 Google 安全运营功能弃用情况以及相关的关停时间表。
| 功能 | 弃用日期 | 关停日期 | 详细信息 |
|---|---|---|---|
| BigQuery 数据湖 | 2024 年 12 月 31 日: | 2025 年 4 月 30 日 | 与 chronicle-tla Google Cloud 项目关联的托管 BigQuery 资源和 API 密钥的停用日期已延长至 2025 年 4 月 30 日。 |
| 将 SOAR 基础架构迁移到 Google API | 2025 年 6 月 | 2025 年 9 月 30 日 | 自 2025 年 6 月起,SOAR API 将作为 Google API 服务的一部分托管 (chronicle/docs/reference/rest)。
|
| SOAR API | 迁移期(2025 年 6 月至 9 月)后的 6 个月 | 2026 年 3 月 31 日 | 在 SOAR 迁移到 Google API 服务 (chronicle/docs/reference/rest) 完成后,SOAR API 将被弃用。您需要更改自己的脚本和工具,以引用新的 Google SOAR API。 |
| UDM 提醒元数据字段 | 2024 年 7 月 22 日 | 2025 年 6 月 22 日 | 适用于 UDM idm.is_significant 和 idm.is_alert 的 Google SecOps 提醒元数据字段已废弃。使用 YARA-L 检测规则提醒作为提醒元数据。 |
| Incident Manager | 2024 年 7 月 22 日 | 2025 年 7 月 22 日 | Google Security Operations 中的 Incident Manager 将于 2025 年 7 月 22 日彻底停用。我们将在 2025 年 7 月 22 日之前提供支持和维护服务,但无法发布任何新功能。 |
| BigQuery 数据湖 | 2024 年 12 月 31 日: | 2025 年 3 月 31 日 | 自 2024 年 12 月 31 日起,除企业 Plus 层级的客户外,Google SecOps 客户将无法访问用于导出的托管式 BigQuery 数据湖。企业 Plus 版层级客户在替代产品推出之前可以继续使用该功能。其他客户可以使用自己的 BigQuery 实例导出遥测数据,此功能目前处于预览阶段。如需了解详情,请参阅在自托管 Google Cloud 项目中配置将数据导出到 BigQuery。与 chronicle-tla Google Cloud 项目关联的托管 BigQuery 资源和 API 密钥将于 2025 年 3 月 31 日之前完全停用。 |
| Python 2.7 | 2024 年 7 月 14 日 | 2024 年 10 月 13 日 | Google SecOps 平台和 Marketplace 即将停用对 Python 2.7 的支持。2024 年 10 月 13 日之后,用户将无法再在 Google SecOps 平台中使用运行 Python 2.7 的集成。如需了解详情,请参阅升级 Python 版本。 |
Symantec Event Export API Feed |
2024 年 7 月 11 日 | 2024 年 10 月 1 日 | 由于 Symantec Event Export API 已废弃,第三方 API Feed Symantec Event Export 已停用。如需提取数据,请使用 Cloud Storage 存储分区。如需了解详情,请参阅添加 Feed 和添加数据存储分区事件流类型。 |
| 数据提取提醒方法 | 2024 年 4 月 18 日 | 2024 年 9 月 1 日 | 使用 Google Security Operations 的提取提醒系统已废弃。此系统将不再更新,并且自 2024 年 9 月 1 日起,系统将不会再发送提醒。使用 Cloud Monitoring 集成,在提醒逻辑、提醒工作流和与第三方服务工单系统的集成方面获得更大的灵活性。 |
BigQuery 中的 Google SecOps ingestion_stats 表 |
2024 年 4 月 18 日 | 2024 年 5 月 15 日 | BigQuery 中的 ingestion_stats 表已废弃,自 2024 年 5 月 15 日起将不再更新。现有数据将保留到 2025 年 5 月 15 日。在 BigQuery 中使用 Google SecOps ingestion_metrics 表,该表可提供更准确的提取指标。此外,Google Security Operations 的 Cloud Monitoring 集成还提供有关提取指标的实时提醒。 |
| Google Security Operations CBN 提醒 | 2024 年 7 月 22 日 | 2025 年 7 月 22 日 | 企业数据分析页面和 CBN 提醒将于 2025 年 7 月之后停用。您可以使用提醒和 IOC 页面查看提醒。我们建议您将现有的 CBN 提醒迁移到 YARA-L 检测引擎。Google Security Operations 的 YARA-L 检测引擎是检测提醒的首选选项,因为它可提高检测逻辑的透明度,并提供强大的调整功能。如需了解详情,请参阅 YARA-L 2.0 语言概览。 |
适用于 UDM 名词的 labels 字段 |
2023 年 11 月 29 日 | 2024 年 11 月 29 日 | 自 2023 年 11 月 29 日或之后,以下适用于 UDM 名词的 Google Security Operations labels 字段将被废弃:about.labels、intermediary.labels、observer.labels、principal.labels、src.labels、security_result.about.labels 和 target.labels。对于现有解析器,除了这些 UDM 字段之外,日志字段还会映射到键值对 additional.fields UDM 字段。对于新解析器,系统会使用 additional.fields UDM 字段中的键值设置,而不是已废弃的 labels UDM 字段。我们建议您更新现有规则,以使用 additional.fields UDM 字段中的键值对设置,而不是已废弃的 labels UDM 字段。 |
| 适用于 Windows 的 Google Security Operations 转发器可执行文件 | 2023 年 4 月 4 日 | 2024 年 3 月 31 日 | 现有的 适用于 Windows 的 Google Security Operations 转发器可执行文件将于 2024 年 3 月 31 日当天或之后移除。如需了解适用于 Docker 的 Windows 版 Google Security Operations 转发器,请参阅 适用于 Docker 的 Windows 版 Google Security Operations 转发器。 |
Chronicle BigQuery udm_events 表 |
2023 年 7 月 1 日 | 2023 年 8 月 1 日 | 2023 年 7 月 1 日当天或之后,Chronicle 管理的 BigQuery 项目中的现有 udm_events 表将完全替换为名为 events 的新表。此新表格目前面向所有客户提供。Chronicle 将处理此新表在产品中的所有更改。通过 Cloud 控制台、API 或直接连接到 BQ 对 udm_events 表发出查询的客户应在 7 月 1 日之前将查询完全迁移到新表,以免中断。将 SQL 查询迁移到使用新的“Event”表时,还应将 _PARTITIONTIME 字段替换为新的 hour_time_bucket 字段。 |
MICROSOFT_SECURITY_CENTER_ALERT 日志类型 |
2022 年 5 月 3 日 | 2022 年 5 月 3 日 | 自 2022 年 5 月 3 日起,MICROSOFT_SECURITY_CENTER_ALERT 日志类型已被移除。之前通过 MICROSOFT_SECURITY_CENTER_ALERT Feed 提取的日志现在是 MICROSOFT_GRAPH_ALERT Feed 的一部分。如果您使用 MICROSOFT_SECURITY_CENTER_ALERT 日志类型配置了 Feed,则可以使用 MICROSOFT_GRAPH_ALERT 日志类型创建新 Feed。如需详细了解 MICROSOFT_GRAPH_ALERT 日志类型,请参阅 Microsoft Graph Security API Alerts。 |