自動抽出の概要

このドキュメントでは、データの取り込み、処理、分析機能を強化するためにデータが自動的に抽出される仕組みの概要について説明します。

Google Security Operations は、事前構築済みパーサーを使用して、統合データモデル（UDM）スキーマを使用してログデータを抽出して構造化します。これらのパーサーの管理とメンテナンスは、不完全なデータ抽出、管理するパーサー数の増加、ログ形式の進化に伴う頻繁な更新の必要性など、いくつかの制限があるため、困難な場合があります。

こうした課題に対処するには、自動抽出機能を使用します。この機能は、Google SecOps に取り込まれた JSON 形式のログの Key-Value ペアを自動的に抽出します。この抽出されたデータは、extracted という UDM マップ型フィールドに保存されます。このデータは、UDM 検索クエリ、プレビュー ダッシュボード、YARA-L ルール内で使用できます。自律解析は JSON 形式のログをサポートしています。

ベスト プラクティスとして、抽出されたフィールドを使用する UDM 検索では、検索クエリのパフォーマンスを向上させるために、クエリに metadata.log_type を含める必要があります。

自動抽出のメリットは、パーサーへの依存を減らすことができ、パーサーが存在しない場合やログの解析に失敗した場合でも、データを使用できることです。

未加工ログからデータを解析して抽出する

1. 解析: Google SecOps は、ログタイプに固有のパーサーを使用してログの解析を試みます（利用可能な場合）。特定のパーサーが存在しない場合や、パースが失敗した場合、Google SecOps は一般的なパーサーを使用して、取り込まれたタイムスタンプ、ログタイプ、メタデータ ラベルなどの基本情報を抽出します。

2. データの抽出: すべてのデータポイントがログから自動的に抽出されます。

3. イベントの拡充: Google SecOps は、解析されたデータとカスタム形式のフィールドを組み合わせて拡充イベントを作成し、より多くのコンテキストと詳細を提供します。

4. ダウンストリーム データ転送: 拡充されたイベントは、詳細な分析と処理のために他のシステムに送信されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。