自動擷取總覽
本文將概略說明如何自動擷取資料,以提升資料的擷取、處理和分析能力。
Google Security Operations 會使用預先建構的剖析器,透過 Unified Data Model (UDM) 結構定義擷取及建構記錄資料。由於多項限制,管理及維護這些剖析器可能相當困難:資料擷取不完整、需要管理的剖析器數量不斷增加,以及記錄格式演變時需要頻繁更新。
為解決這些問題,您可以使用自動擷取功能。這項功能會自動從擷取到 Google SecOps 的 JSON 格式記錄中,擷取鍵/值組合。此外,也支援包含 JSON 訊息的 Syslog 格式記錄。這項擷取的資料會儲存在名為 extracted 的 UDM 地圖類型欄位中。接著,您就能在 UDM 搜尋查詢、原生資訊主頁和 YARA-L 規則中使用這些資料。
建議您採取下列最佳做法:使用擷取的欄位執行 UDM 搜尋時,必須在查詢加入 metadata.log_type,以便提高搜尋查詢成效。
自動擷取功能可減少對剖析器的依賴,確保資料可用性,即使剖析器不存在或無法剖析記錄檔也一樣。
剖析原始記錄並擷取資料
剖析:Google SecOps 會嘗試使用記錄類型專用的剖析器剖析記錄 (如有)。如果沒有特定剖析器,或剖析失敗,Google SecOps 會使用一般剖析器擷取基本資訊,例如擷取時間戳記、記錄類型和中繼資料標籤。
資料擷取:系統會自動從記錄中擷取所有資料點。
事件擴充:Google SecOps 會結合剖析的資料和任何自訂格式的欄位,建立擴充事件,提供更多背景資訊和詳細資料。
下游資料傳輸:這些經過強化處理的事件會傳送至其他系統,以供進一步分析和處理。
使用擷取器
擷取器可從有大量記錄的來源擷取欄位,並用於最佳化記錄管理。使用擷取器可縮減事件大小、提升剖析效率,並更妥善地控管資料擷取作業。這項功能特別適合用來管理新的記錄類型,或盡量縮短處理時間。
您可以使用「SIEM 設定」選單或執行原始記錄搜尋,建立擷取器。
建立擷取器
使用下列任一方法前往「擷取其他欄位」窗格:
- 依序點選「SIEM 設定」 >「剖析器」,然後執行下列操作:
- 在隨即顯示的「PARSERS」表格中,找出剖析器 (記錄來源),然後依序點選「選單」圖示 >「Extend Parser」 >「Extract Additional Fields」。
- 使用「原始記錄掃描」並執行下列操作:
- 從「記錄來源」選單中選取所需記錄來源 (剖析器)。
- 從原始記錄結果中選取記錄來源,開啟「EVENT DATA」(事件資料) 窗格。
- 在「EVENT DATA」(事件資料) 窗格中,依序點按「Manage Parser」(管理剖析器) >「Extend Parser」(擴充剖析器) >「Extract Additional Fields」(擷取其他欄位)。
- 使用 UDM 搜尋,然後執行下列操作:
- 在 UDM 搜尋結果的「EVENTS」分頁中,選取記錄來源即可查看「Event Viewer」窗格。
- 在「原始記錄」分頁中,依序點按「管理剖析器」 >「擴充剖析器」 >「擷取其他欄位」。
- 依序點選「SIEM 設定」 >「剖析器」,然後執行下列操作:
在「擷取其他欄位」窗格的「選取擷取器」分頁中,選取所需的原始記錄檔欄位。根據預設,您最多可以選取 100 個欄位。 如果沒有其他可擷取的欄位,系統會顯示警告通知。
按一下「參考原始記錄」分頁標籤,即可查看原始記錄資料並預覽 UDM 輸出內容。
按一下 [儲存]。
新建立的擷取器會標示為 EXTRACTOR。
擷取的欄位會以 extracted.field{"fieldName"} 形式顯示在 UDM 輸出內容中。
查看擷取器詳細資料
- 前往「PARSERS」表格中的擷取器資料列,然後依序點選 「選單」 >「擴充剖析器」 >「查看擴充功能」。
- 在「VIEW CUSTOM PARSERS」(查看自訂剖析器) 頁面上,按一下「Extensions and Extracted Fields」(擴充功能和擷取的欄位) 分頁標籤。
這個分頁會顯示剖析器擴充功能和擷取器欄位的相關資訊。您可以在「查看自訂剖析器」頁面修改或移除欄位,並預覽剖析器輸出內容。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。