Vordefinierte und benutzerdefinierte Parser verwalten
Übersicht
In diesem Dokument finden Sie eine Anleitung zum Verwalten von Parsern in Google Security Operations. Darin wird beschrieben, wie Sie Updates für vordefinierte und benutzerdefinierte Parser verarbeiten, Parsererweiterungen erstellen und den Zugriff auf Parserverwaltungsfunktionen steuern:
- Updates für vorgefertigte Parser verwalten
- Benutzerdefinierte Parser verwalten
- Erweiterung erstellen
- Zugriff auf die Parserverwaltung steuern
Arten von Parsern
Parser-Typen und ihre Funktionen:
| Parsertyp | Beschreibung |
|---|---|
| Vordefiniert | Von Google SecOps erstellte Parser, die integrierte Zuordnungen zum Transformieren von ursprünglichen Logdaten in UDM-Felder enthalten. |
| Vordefiniert (erweitert) | Ein von Kunden erstellter vordefinierter Parser mit zusätzlichen Zuordnungsanweisungen, um zusätzliche Daten aus einem ursprünglichen Rohlog zu extrahieren und in den UDM-Datensatz einzufügen. |
| Benutzerdefiniert | Parser, die von Kunden mit benutzerdefinierten Datenzuordnungsanweisungen zum Transformieren von ursprünglichen Logdaten in UDM-Felder erstellt werden. |
| Benutzerdefiniert (erweitert) | Ein benutzerdefinierter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen mithilfe einer Parser-Erweiterung erstellt wurde, um zusätzliche Daten aus einem ursprünglichen Rohlog zu extrahieren und in den UDM-Datensatz einzufügen. |
Unterstützungsstufen für Parser
Google SecOps bietet die folgenden Parser-Supportstufen:
| Parser-Typ | Beschreibung und Support |
|---|---|
| Premium-Parser | Google SecOps bietet hochwertige Parser für die am häufigsten verwendeten Datenquellen mit hohem Volumen. Kundenanfragen für Premium-Parser werden in der Regel innerhalb weniger Tage bearbeitet. |
| Standard-Parser | Für andere unterstützte Datenquellen bietet Google SecOps Best-Effort-Support mit einer typischen Reaktionszeit von einigen Wochen. Um unmittelbare Anforderungen zu erfüllen, können Sie Parser-Erweiterungen zur Selbsthilfe und die Funktion zum automatischen Extrahieren verwenden. |
| Von Kunden entwickelte Parser und Erweiterungen | Google SecOps bietet keinen Support für diese. Wir empfehlen Ihnen, dies entweder selbst oder mit Unterstützung von Google-Partnern zu verwalten. |
Eine vollständige Liste der Premium- und Standard-Parser finden Sie unter Standard-Parserkonfiguration.
Eine Übersicht zum Parsen von Rohlogs in das UDM-Format (Unified Data Model) finden Sie unter Übersicht zum Parsen von Logs.
Updates für vordefinierte Parser verwalten
Google SecOps aktualisiert die vorgefertigten Parser in der Regel in der vierten Woche eines jeden Monats. Diese Updates werden Kunden zuerst für Early Access und Tests zur Verfügung gestellt. Wenn anstehende Parser-Updates verfügbar sind, werden sie in der Parserliste als Ausstehendes Update gekennzeichnet. Sie können sich die Unterschiede zwischen der alten und der neuen Parserversion ansehen, das Parser-Update frühzeitig aktivieren, um es zu testen, oder das Update überspringen und einen benutzerdefinierten Parser erstellen.
So rufen Sie die ausstehende Aktualisierung auf:
Wählen Sie SIEM Settings > Parsers aus.
Klicken Sie auf Filtern.
Wählen Sie aus der Liste Vorgefertigt, Aktiv und Vorgefertigt (erweitert) aus.
Eine Liste der aktiven (Standard) und vordefinierten Parser wird angezeigt. Anstehende Parser-Updates sind in der Spalte Update als Ausstehend gekennzeichnet.
Klicken Sie auf Menü und wählen Sie Ausstehende Aktualisierung ansehen aus der Liste aus.
Die Seite Parser vergleichen wird angezeigt. Hier sehen Sie Folgendes:
Der Codeunterschied zwischen der aktuellen und der bevorstehenden Parserversion.
Die Änderungsprotokolle auf dem Tab Änderungsprotokolle.
Das generierte UDM-Ereignis für das Stichproben-Rohlog.
Datum und Uhrzeit der Parsererstellung.
Datum und Uhrzeit der letzten Aktualisierung des Parsercodes.
Sie können das Parser-Update entweder vorzeitig aktivieren, das Update überspringen und einen benutzerdefinierten Parser erstellen oder warten, bis das Update in der vierten Woche des Monats automatisch angewendet wird.
Parser-Update frühzeitig aktivieren
Mit der Funktion zur Parserverwaltung können Sie das Parser-Update vorzeitig aktivieren. Zum Beispiel, wenn Sie es testen möchten.
So aktivieren Sie das Parser-Update vorzeitig:
Klicken Sie auf der Seite Parser vergleichen auf Parser-Update aktivieren.
Das Dialogfeld Parser-Update bestätigen wird angezeigt.
Klicken Sie auf Bestätigen.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Updates für vordefinierte Parser überspringen
Wenn Sie die aktuellen und zukünftigen Updates für integrierte Parser überspringen möchten, erstellen Sie einen benutzerdefinierten Parser:
Klicken Sie auf der Seite Parser vergleichen auf Aktualisierung überspringen.
Das Fenster Aktualisierung überspringen und benutzerdefinierten Parser erstellen wird angezeigt.
Klicken Sie auf Benutzerdefinierten Parser erstellen.
Wählen Sie für Parser-Typ für den Einstieg entweder den aktuellen vordefinierten Parser oder die ausstehende Parser-Aktualisierung aus.
Klicken Sie auf Erstellen.
Die ausgewählte Version wird nach 20 Minuten für die Normalisierung aktiviert. Er wird in der Parserliste auf der Seite Parser als Benutzerdefiniert und Aktiv angezeigt. Die frühere vordefinierte Version wird als Vordefiniert und Inaktiv angezeigt.
Vorab-Update des integrierten Parsers rückgängig machen
Wenn Sie das Parser-Update vorzeitig aktiviert haben, können Sie bis zur vierten Woche des Monats, in der das Update automatisch aktiviert wird, zur vorherigen Version zurückkehren.
So wechseln Sie zurück zur vorherigen Parserversion:
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie neben dem Parser, den Sie zurücksetzen möchten, auf Menü.
Klicken Sie auf Ansehen.
Die Seite Vorgefertigten Parser ansehen wird angezeigt.
Klicken Sie auf Zur vorherigen Version zurückkehren.
Das Dialogfeld Auf vorherige Version zurücksetzen wird angezeigt. Klicken Sie im Dialogfeld auf Parser vergleichen, um den Unterschied zwischen der aktuellen und der vorherigen Version zu sehen.
Klicken Sie auf Bestätigen, um den Parser auf die vorherige Version zurückzusetzen.
Nach 20 Minuten wird der Parser auf die vorherige Version zurückgesetzt.
Benutzerdefinierte Parser
Mit Google SecOps können Sie benutzerdefinierte Parser erstellen, wenn kein vordefinierter Parser verfügbar ist oder Sie mehr Kontrolle haben möchten. Benutzerdefinierte Parser werden zusammen mit den vordefinierten Parsern in der Parserliste angezeigt.
Zu den häufigsten Anwendungsfällen gehören:
Sie nehmen Protokolldaten für einen Protokolltyp auf, für den kein vordefinierter Parser vorhanden ist.
Gehen Sie nach einer der folgenden Methoden vor:
Erstellen Sie einen benutzerdefinierten Parser, um Updates für vordefinierte Parser zu überspringen.
Benutzerdefinierten Parser auf Grundlage von Zuordnungsanweisungen erstellen
Sie können einen benutzerdefinierten Parser erstellen, indem Sie Code schreiben, der das ursprüngliche Rohlog in einen UDM-Datensatz konvertiert.
Weitere Informationen:
- Weitere Informationen zur Struktur eines Parsers finden Sie unter Log-Parsing – Übersicht.
- Weitere Informationen zur Parser-Syntax finden Sie in der Parser-Syntaxreferenz.
Achten Sie beim Erstellen eines Parsers darauf, so viele wichtige UDM-Felder wie möglich auszufüllen.
Rufen Sie die SIEM-Einstellungen auf.
Klicken Sie auf Parser erstellen.
Wählen Sie in der Liste Log Source (Logquelle) eine geeignete Logquelle aus.
Wählen Sie Nur mit Rohlogs beginnen aus, um einen neuen Parser nach Ihren Anforderungen zu erstellen.
Klicken Sie auf Erstellen.
Geben Sie den Code in das Parser Code Terminal ein. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuordnung.
Optional: Klicken Sie auf Bearbeiten, um das vorhandene Rohprotokoll oder die vorhandene Kopie zu bearbeiten.
Optional: Klicken Sie auf Laden, um das aktuelle Rohlog zu laden.
Klicken Sie auf Vorschau, um die UDM-Ausgabe aufzurufen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.
In der Vorschau können Sie das Plug-in „statedump filter“ verwenden, um den internen Status eines Parsers zu validieren. Weitere Informationen finden Sie unter Daten mit dem statedump-Plug-in validieren.
Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.
Die Validierung kann einige Minuten dauern. Wir empfehlen daher, zuerst eine Vorschau des benutzerdefinierten Parsers zu erstellen, bei Bedarf Änderungen vorzunehmen und ihn dann zu validieren.
Klicken Sie auf Senden.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Benutzerdefinierten Parser auf Grundlage eines vorhandenen Parsers erstellen
Verwenden Sie einen vorhandenen Parser als Vorlage, um einen neuen benutzerdefinierten Parser zu erstellen. Diese Methode unterstützt nur den codebasierten Ansatz. So funktionierts:
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie auf Parser erstellen.
Wählen Sie in der Liste Log Source (Logquelle) eine geeignete Logquelle aus.
Wählen Sie Mit einem vorhandenen vordefinierten Parser beginnen aus, um einen vorhandenen Parser als Grundlage für die Erstellung eines neuen benutzerdefinierten Parsers zu verwenden.
Klicken Sie auf Erstellen.
Bearbeiten Sie den Code im Parser Code Terminal. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuordnung.
Optional: Klicken Sie auf Bearbeiten, um das Rohprotokoll zu bearbeiten.
Optional: Klicken Sie auf Aktualisieren, um das Rohlog zu aktualisieren.
Wenn Sie Code zum Erstellen des Parsers hinzufügen, klicken Sie auf Vorschau, um die UDM-Ausgabe anzusehen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.
In der Vorschau können Sie das Plug-in „statedump“ verwenden, um den internen Status eines Parsers zu validieren. Weitere Informationen finden Sie unter Daten mit dem statedump-Plug-in validieren.
Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.
Die Validierung kann einige Minuten dauern. Wir empfehlen daher, zuerst eine Vorschau des benutzerdefinierten Parsers aufzurufen, bei Bedarf Änderungen vorzunehmen und den benutzerdefinierten Parser dann zu validieren.
Klicken Sie auf Senden.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Benutzerdefinierten Parser inaktiv machen
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie neben dem Parser, den Sie deaktivieren möchten, auf Menü und wählen Sie aus der Liste Deaktivieren aus.
Das Dialogfeld Parser inaktivieren wird angezeigt.
Klicken Sie auf Inaktivieren.
Der benutzerdefinierte Parser wird deaktiviert und die aktuelle vordefinierte Parserversion wird nach 20 Minuten aktiviert. Der vordefinierte Parser wird jetzt zum Standardparser. Der benutzerdefinierte Parser wird deaktiviert und die aktuelle vordefinierte Parserversion wird nach 20 Minuten aktiviert. Der vordefinierte Parser wird jetzt zum Standardparser.
Benutzerdefinierten Parser löschen
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie auf das Menü neben dem benutzerdefinierten Parser, den Sie löschen möchten, und wählen Sie Löschen aus der Liste aus. Hinweis: Vorgefertigte Parser können nicht gelöscht werden.
Das Dialogfeld Benutzerdefinierten Parser löschen wird angezeigt.
Klicken Sie auf Löschen.
Der benutzerdefinierte Parser wird gelöscht und die aktuelle vordefinierte Parserversion wird nach 20 Minuten aktiviert.
Erweiterung erstellen
Mit Parsererweiterungen lassen sich die Funktionen vorhandener vordefinierter (Standard-)Parser und benutzerdefinierter Parser flexibel erweitern. Sie ersetzen keine vordefinierten oder benutzerdefinierten Parser. Stattdessen ermöglichen sie die nahtlose Extraktion zusätzlicher Felder aus dem ursprünglichen Rohlog in den UDM-Datensatz. Eine Parsererweiterung unterscheidet sich von einem benutzerdefinierten Parser.
Informationen zum Erstellen einer Parser-Erweiterung finden Sie unter Parser-Erweiterungen verwenden.
Zugriff auf die Parserverwaltung steuern
Standardmäßig können Nutzer mit den Rollen Administrator und Bearbeiter Parser-Updates verwalten. Es können neue Berechtigungen erteilt werden, um zu steuern, wer diese Aktualisierungen ansehen und verwalten darf.
Weitere Informationen zum Verwalten von Nutzern und Gruppen oder zum Zuweisen von Rollen finden Sie im Leitfaden zur rollenbasierten Zugriffssteuerung.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten