Administra analizadores personalizados y prediseñados
Descripción general
En este documento, se proporciona orientación para administrar los analizadores dentro de Google Security Operations. Se detalla cómo controlar las actualizaciones de los analizadores sintácticos prediseñados y personalizados, crear extensiones de analizadores sintácticos y controlar el acceso a las funciones de administración de analizadores sintácticos:
- Administra las actualizaciones del analizador sintáctico prediseñado
- Administra analizadores personalizados
- Crea una extensión
- Controla el acceso a la administración del analizador
Tipos de analizadores
Comprensión de los tipos de analizadores y sus funciones:
| Tipo de analizador | Descripción |
|---|---|
| Compilado previamente | Son analizadores creados por Google SecOps que incluyen asignaciones integradas para transformar los datos de registro originales en campos del UDM. |
| Compilación previa extendida | Es un analizador prediseñado creado por los clientes con instrucciones de asignación adicionales para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro del UDM. |
| Personalizado | Son los analizadores que crean los clientes con instrucciones de asignación de datos personalizadas para transformar los datos de registro originales en campos del UDM. |
| Extensión personalizada | Es un analizador personalizado que crean los clientes con instrucciones de asignación adicionales a través de una extensión de analizador para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro de UDM. |
Niveles de compatibilidad del analizador
Google SecOps ofrece los siguientes niveles de asistencia para el analizador:
| Tipo de analizador | Descripción y asistencia |
|---|---|
| Analizadores premium | Google SecOps proporciona analizadores de alta calidad de las fuentes de datos de gran volumen más utilizadas. Por lo general, las solicitudes de los clientes para obtener analizadores premium se procesan en unos días. |
| Analizadores estándar | Para otras fuentes de datos admitidas, Google SecOps ofrece asistencia con el mejor esfuerzo, con un tiempo de respuesta típico de algunas semanas. Para satisfacer las necesidades inmediatas, puedes usar extensiones de analizador de autoservicio y capacidades de extracción automática. |
| Extensiones y analizadores creados por el cliente | Google SecOps no ofrece asistencia para estas integraciones. Te recomendamos que administres esto de forma independiente o con la asistencia de socios de Google. |
Para obtener una lista completa de los analizadores Premium y Estándar, consulta Configuración predeterminada del analizador.
Para obtener una descripción general del análisis de registros sin procesar en el formato del modelo de datos unificado (UDM), consulta Descripción general del análisis de registros.
Administra las actualizaciones del analizador sintáctico prediseñado
Por lo general, Google SecOps actualiza sus analizadores sintácticos prediseñados durante la cuarta semana de cada mes. Primero, estas actualizaciones se ponen a disposición de los clientes para que las prueben y accedan a ellas de forma anticipada. A medida que las próximas actualizaciones del analizador estén disponibles, se marcarán como actualizaciones Pendientes en la lista de analizadores. Puedes examinar la diferencia entre las versiones anteriores y las más recientes del analizador, activar la actualización del analizador de forma anticipada para probarlo o bien omitir la actualización y crear un analizador personalizado.
Para ver la actualización pendiente, haz lo siguiente:
Accede a tu instancia de Google SecOps.
Selecciona Configuración del SIEM > Analizadores.
Haz clic en Filtrar.
Selecciona Prebuilt, Active y Prebuilt Extended en la lista.
Se muestra una lista de los analizadores activos (predeterminados) y prediseñados. Las próximas actualizaciones del analizador se marcan como Pendientes en la columna Actualización.
Haz clic en Menú y selecciona Ver actualización pendiente en la lista.
Aparecerá la página Compare parsers. Aquí puedes ver lo siguiente:
Es la diferencia de código entre la versión actual y la próxima del analizador.
Los registros de cambios en la pestaña Registros de cambios
Es el evento de UDM generado para el registro sin procesar muestreado.
Fecha y hora en que se creó el analizador.
Fecha y hora en que se actualizó el código del analizador por última vez.
Puedes activar la actualización del analizador antes de tiempo, omitir la actualización y crear un analizador personalizado, o bien esperar a que la actualización se aplique automáticamente durante la cuarta semana del mes.
Cómo hacer que la actualización del analizador esté activa antes de tiempo
La función de administración del analizador te permite activar la actualización del analizador antes de tiempo. Por ejemplo, si quieres probarlo.
Para que la actualización del analizador esté activa antes, sigue estos pasos:
En la página Compare parsers, haz clic en Make parser update active.
Aparecerá el diálogo Confirmar actualización del analizador.
Haz clic en Confirmar.
El analizador se activa para el proceso de normalización después de 20 minutos.
Cómo omitir las actualizaciones del analizador sintáctico prediseñado
Para omitir las actualizaciones del analizador sintáctico prediseñado actuales y futuras, crea un analizador sintáctico personalizado de la siguiente manera:
En la página Compare parsers, haz clic en Skip update.
Aparecerá la ventana Omitir actualización y crear un analizador personalizado.
Haz clic en Crear un analizador personalizado.
En Type of parser to start with, selecciona el Prebuilt Parser actual o el Pending Parser Update.
Haz clic en Crear.
La versión seleccionada se activa para el proceso de normalización después de 20 minutos. Aparece como Personalizado y Activo en la lista de analizadores de la página Analizadores. La versión prediseñada anterior aparece como Prediseñada y Inactiva.
Cómo revertir una actualización anticipada del analizador sintáctico prediseñado
Si activaste la actualización del analizador antes de tiempo, puedes volver a la versión anterior hasta la cuarta semana del mes, cuando se active la actualización automáticamente.
Para volver a la versión anterior del analizador, sigue estos pasos:
En el menú de la aplicación, selecciona Configuración > Analizadores.
Haz clic en Menú junto al analizador que quieres revertir.
Haz clic en Ver.
Aparecerá la página Ver el analizador sintáctico prediseñado.
Haz clic en Revert to previous version.
Aparecerá el diálogo Revert to previous. Puedes hacer clic en Compare Parsers en el diálogo para ver la diferencia entre las versiones actual y anterior.
Haz clic en Confirmar para revertir el analizador a su versión anterior.
El analizador sintáctico vuelve a su versión anterior después de 20 minutos.
Analizadores personalizados
Google SecOps te permite crear analizadores personalizados para los casos en los que no hay un analizador integrado disponible o cuando deseas tener más control. Los analizadores personalizados aparecen en la lista de analizadores, junto con los analizadores prediseñados.
Los casos de uso comunes incluyen los siguientes:
Ingiere datos de registro para un tipo de registro que no tiene un analizador sintáctico prediseñado.
Usa uno de los siguientes métodos:
Crea un analizador personalizado para omitir las actualizaciones del analizador integrado.
Crea un analizador personalizado basado en instrucciones de asignación
Puedes crear un analizador personalizado escribiendo código que convierta el registro de registro sin procesar original en un registro de UDM.
Lecturas adicionales:
- Para obtener más información sobre la estructura de un analizador, consulta Descripción general del análisis de registros.
- Para obtener más información sobre la sintaxis del analizador, consulta la referencia de sintaxis del analizador.
Cuando crees un analizador, intenta completar la mayor cantidad posible de campos importantes de UDM.
Ve a Configuración del SIEM.
Haz clic en Create Parser.
Selecciona una fuente de registro adecuada en la lista Log Source.
Selecciona Comienza solo con registros sin procesar para crear un nuevo analizador según tus requisitos.
Haz clic en Crear.
Ingresa tu código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmentos de código.
Opcional: Haz clic en Editar para editar el registro sin procesar o la copia existentes.
Opcional: Haz clic en Cargar para cargar el registro sin procesar más reciente.
Haz clic en Vista previa para ver la salida de UDM. Si el código es incorrecto, se mostrará un mensaje de error.
En la vista previa, puedes usar el complemento de filtro statedump para validar el estado interno de un analizador. Para obtener más información, consulta Cómo validar datos con el complemento statedump.
Haz clic en Validar para validar el analizador personalizado.
El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices los cambios necesarios y, luego, valides el analizador personalizado.
Haz clic en Enviar.
El analizador se activa para el proceso de normalización después de 20 minutos.
Crea un analizador personalizado basado en un analizador existente
Usa un analizador existente como plantilla para crear un nuevo analizador personalizado. Este método solo admite el enfoque basado en código. Para comenzar, sigue estos pasos:
En el menú de la aplicación, selecciona Configuración > Analizadores.
Haz clic en Create Parser.
Selecciona una fuente de registro adecuada en la lista Log Source.
Selecciona Comienza con un analizador predefinido existente para usar un analizador existente como base para crear un nuevo analizador personalizado.
Haz clic en Crear.
Edita tu código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmentos de código.
Opcional: Haz clic en Editar para editar el registro sin procesar.
Opcional: Haz clic en Actualizar para actualizar el registro sin procesar.
A medida que agregues código para compilar el analizador, haz clic en Vista previa para ver el resultado del UDM. Si el código es incorrecto, se mostrará un mensaje de error.
En la vista previa, puedes usar el complemento de filtro statedump para validar el estado interno de un analizador. Para obtener más información, consulta Valida datos con el complemento statedump.
Haz clic en Validar para validar el analizador personalizado.
El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices los cambios necesarios y, luego, lo valides.
Haz clic en Enviar.
El analizador se activa para el proceso de normalización después de 20 minutos.
Cómo inhabilitar un analizador personalizado
En el menú de la aplicación, selecciona Configuración > Analizadores.
Haz clic en Menú junto al analizador que deseas inhabilitar y selecciona Inhabilitar en la lista.
Aparecerá el diálogo Make parser inactive.
Haz clic en Inactivar.
El analizador personalizado se desactiva y se activa la versión actual del analizador prediseñado después de 20 minutos. El analizador precompilado ahora se convierte en el analizador predeterminado. El analizador personalizado se desactiva y se activa la versión actual del analizador prediseñado después de 20 minutos. El analizador precompilado ahora se convierte en el analizador predeterminado.
Cómo borrar un analizador personalizado
En el menú de la aplicación, selecciona Configuración > Analizadores.
Haz clic en Menú junto al analizador personalizado que deseas borrar y selecciona Borrar en la lista. Nota: No puedes borrar un analizador sintáctico prediseñado.
Aparecerá el diálogo Borrar el analizador personalizado.
Haz clic en Borrar.
El analizador personalizado se borra y se activa la versión actual del analizador prediseñado después de 20 minutos.
Crea una extensión
Las extensiones de analizador proporcionan una forma flexible de extender las capacidades de los analizadores prediseñados (predeterminados) y personalizados existentes. No reemplazan los analizadores sintácticos prediseñados ni personalizados. En cambio, permiten la extracción sin problemas de campos adicionales del registro sin procesar original en el registro de UDM. Una extensión del analizador es diferente de un analizador personalizado.
Para crear una extensión de análisis, consulta Cómo usar extensiones de análisis.
Controla el acceso a la administración del analizador
De forma predeterminada, los usuarios con los roles de administrador y editor pueden administrar las actualizaciones del analizador. Se pueden otorgar permisos nuevos para controlar quién puede ver y administrar estas actualizaciones.
Para obtener más información sobre cómo administrar usuarios y grupos, o asignar roles, consulta la guía del usuario sobre el control de acceso basado en roles.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.