Descripción general de la extracción automática

Compatible con:

En este documento, se proporciona una descripción general de cómo se extraen los datos automáticamente para mejorar la capacidad de transferir, procesar y analizar datos.

Las Operaciones de seguridad de Google utilizan analizadores prediseñados para extraer y estructurar los datos de registro con el esquema del modelo de datos unificado (UDM). Administrar y mantener estos analizadores puede ser un desafío debido a varias limitaciones: extracción de datos incompleta, la creciente cantidad de analizadores que se deben administrar y el requisito de actualizaciones frecuentes a medida que evolucionan los formatos de registro.

Para abordar estos desafíos, puedes usar la función de extracción automática. Esta función extrae automáticamente pares clave-valor de los registros con formato JSON que se transfieren a Google SecOps. También admite registros con formato Syslog que incluyen un mensaje JSON. Estos datos extraídos se almacenan en un campo de UDM de tipo mapa llamado extracted. Luego, puedes usar estos datos en las búsquedas de UDM, los paneles nativos y las reglas de YARA-L.

Como práctica recomendada, las búsquedas de UDM que usan campos extraídos deben incluir metadata.log_type en su consulta para mejorar el rendimiento de la búsqueda.

El beneficio de la extracción automática es que se reduce la dependencia de los analizadores, lo que garantiza que los datos permanezcan disponibles, incluso cuando no hay un analizador o este no puede analizar un registro.

Analiza y extrae datos del registro sin procesar

  1. Análisis: Google SecOps intenta analizar los registros con un analizador específico para el tipo de registro, si está disponible. Si no existe un analizador específico o si el análisis falla, Google SecOps usa un analizador general para extraer información básica, como la marca de tiempo de la transferencia, el tipo de registro y las etiquetas de metadatos.

  2. Extracción de datos: Todos los puntos de datos se extraen automáticamente de los registros.

  3. Enriquecimiento de eventos: Google SecOps combina los datos analizados y los campos con formato personalizado para crear eventos enriquecidos, lo que proporciona más contexto y detalles.

  4. Transferencia de datos a sistemas posteriores: Luego, estos eventos enriquecidos se envían a otros sistemas para su análisis y procesamiento adicionales.

Trabaja con extractores

Los extractores te permiten extraer campos de fuentes de registros de gran volumen y están diseñados para optimizar la administración de registros. Con los extractores, puedes reducir el tamaño de los eventos, mejorar la eficiencia del análisis y obtener un mejor control sobre la extracción de datos. Esto es especialmente útil para administrar nuevos tipos de registros o minimizar el tiempo de procesamiento.

Puedes crear extractores con el menú Configuración del SIEM o realizando una búsqueda de registros sin procesar.

Crea extractores

  1. Ve al panel Extract Additional Fields con uno de los siguientes métodos:

    • Haz clic en SIEM Settings > Parsers y haz lo siguiente:
      1. En la tabla PARSERS que aparece, identifica un analizador (fuente de registro) y haz clic en Menú > Extender analizador > Extraer campos adicionales.
    • Usa Raw Log Scan y haz lo siguiente:
      1. Selecciona las fuentes de registros (analizadores) requeridas en el menú Fuentes de registros.
      2. En los resultados del registro sin procesar, selecciona una fuente de registro para abrir el panel EVENT DATA.
      3. En el panel DATOS DEL EVENTO, haz clic en Administrar el analizador > Extender el analizador > Extraer campos adicionales.
    • Usa la búsqueda de UDM y haz lo siguiente:
      1. En la pestaña EVENTS de los resultados de la búsqueda del UDM, selecciona una fuente de registro para ver el panel Event Viewer.
      2. En la pestaña Registro sin procesar, haz clic en Administrar el analizador > Extender el analizador > Extraer campos adicionales.

  2. En la pestaña Select Extractors del panel Extract Additional fields, selecciona los campos de registro sin procesar necesarios. De forma predeterminada, puedes seleccionar hasta 100 campos. Si no hay campos adicionales disponibles para la extracción, se mostrará un aviso de advertencia.

    Haz clic en la pestaña Reference Raw Log para ver los datos de registro sin procesar y obtener una vista previa del resultado del UDM.

  3. Haz clic en Guardar.

El extractor recién creado se etiqueta como EXTRACTOR. Los campos extraídos se muestran en el resultado del UDM comoextracted.field{"fieldName"}.

Ver los detalles del extractor

  1. Ve a la fila del extractor en la tabla PARSERS y haz clic en Menú > Extender el analizador > Ver extensión.
  2. En la página VER ANALIZADORES PERSONALIZADOS, haz clic en la pestaña Extensiones y campos extraídos.

En esta pestaña, se muestra información sobre las extensiones del analizador y los campos del extractor. Puedes modificar o quitar campos, y obtener una vista previa del resultado del analizador desde la página VER ANALIZADORES PERSONALIZADOS.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.