Administra analizadores precompilados y personalizados

En este documento, se describe cómo puedes usar la función de administración de analizadores para crear analizadores personalizados o habilitar o inhabilitar las actualizaciones de analizadores precompilados que inicia Google Security Operations.

Los cambios en los analizadores precompilados se lanzan con regularidad como versiones candidatas. Durante el período de versión candidata, puedes actualizar uno o más analizadores con los cambios pendientes. Cada 4 semanas, las actualizaciones pendientes se activan automáticamente cuando los cambios pendientes del analizador se promocionan a la configuración predeterminada. La cantidad de tiempo que se necesita para evaluar un cambio depende de cuándo se lanzó durante la ventana de lanzamiento candidato.

La función de administración del analizador te permite inspeccionar y probar la actualización durante la ventana de lanzamiento candidato. Puedes ver una lista de los cambios anteriores en un analizador precompilado y también ver los próximos cambios en la cadencia de lanzamiento. Luego, puedes habilitar o inhabilitar la actualización.

Google Security Operations también te brinda la flexibilidad de crear un analizador personalizado para un tipo de registro que no tiene un analizador precompilado. Puedes crear un analizador completamente nuevo directamente desde el registro sin procesar o usar un analizador existente como base para un analizador personalizado nuevo. Para extender las instrucciones de asignación, crea una extensión de analizador para un analizador precompilado o personalizado.

Los diferentes tipos de analizadores son los siguientes:

Tipo de analizador	Descripción
Compilado previamente	Los analizadores que crea Google Security Operations y que contienen instrucciones de asignación de datos integradas para transformar los datos de registro originales en campos de la UDM
Se extendió la compilación previa	Un analizador precompilado que crean los clientes con instrucciones de asignación adicionales para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro de la UDM.
Personalizado	Son los analizadores que crean los clientes con instrucciones de asignación de datos personalizadas para transformar los datos de registro originales en campos de la AUA.
Extensión personalizada	Un analizador personalizado creado por los clientes con instrucciones de asignación adicionales mediante una extensión de analizador para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro de la UDM.

Antes de comenzar

En los siguientes documentos, se explican los conceptos previos que son importantes para gestionar las actualizaciones del analizador:

• Descripción general del modelo de datos unificado
• Descripción general del análisis de registros

Crea un analizador personalizado basado en instrucciones de asignación

Para crear un analizador personalizado, escribe código que convierta el registro sin procesar original en un registro de la UDM. Para obtener información sobre la estructura de un analizador, consulta Descripción general del análisis de registros y Referencia de sintaxis del analizador. Cuando crees un analizador, asegúrate de que las instrucciones de asignación de datos propaguen la mayor cantidad posible de campos de la UDM importantes.

1. En la barra de navegación, selecciona Configuración > Configuración de SIEM.

2. Haz clic en Create Parser.

3. Selecciona una fuente de registro adecuada de la lista Fuente de registro.

4. Selecciona Iniciar solo con registros sin procesar para crear un nuevo analizador según tus requisitos.

5. Haz clic en Crear.

6. Escribe el código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmento de código.

7. Opcional: Haz clic en edit para editar el registro sin procesar o la copia existente.

8. Opcional: Haz clic en refresh para cargar el registro sin procesar más reciente.

9. Haz clic en Vista previa para ver el resultado de la UDM. Si el código es incorrecto, se mostrará un mensaje de error.

   En la vista previa, puedes usar el complemento de filtro de statedump para validar el estado interno de un analizador. Para obtener más información, consulta Cómo validar datos con el complemento statedump.

10. Haz clic en Validar para validar el analizador personalizado.

    El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices cambios si es necesario y, luego, lo valides.

11. Haz clic en Enviar.

    El analizador se elige para la normalización después de 20 minutos.

Crea un analizador personalizado a partir de uno existente

Puedes usar un analizador existente como plantilla para crear uno nuevo. Solo puedes crear un analizador personalizado con el enfoque de código. Para crear un analizador personalizado a partir de uno existente, sigue estos pasos:

1. En el menú de la aplicación apps, selecciona Configuración > Análisis.

2. Haz clic en Create Parser.

3. Selecciona una fuente de registro adecuada de la lista Fuente de registro.

4. Selecciona Comenzar con un analizador precompilado existente para usar un analizador existente como base para crear un nuevo analizador personalizado.

5. Haz clic en Crear.

6. Edita el código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmento de código.

7. Opcional: Haz clic en edit para editar el registro sin procesar.

8. Opcional: Haz clic en refresh para actualizar el registro sin procesar.

9. A medida que agregues código para compilar el analizador, haz clic en Vista previa para ver el resultado de la UDM. Si el código es incorrecto, se mostrará un mensaje de error.

   En la vista previa, puedes usar el complemento de filtro de statedump para validar el estado interno de un analizador. Para obtener más información, consulta Cómo validar datos con el complemento statedump.

10. Haz clic en Validar para validar el analizador personalizado.

    El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices cambios si es necesario y, luego, lo valides.

11. Haz clic en Enviar.

    El analizador se elige para la normalización después de 20 minutos.

Administra las actualizaciones del analizador precompilado

Cuando Google Security Operations lanza una actualización de un analizador, las actualizaciones permanecen en estado pendiente durante 15 días. Para habilitar o inhabilitar una actualización del analizador, examina la diferencia entre las versiones anteriores y las más recientes del analizador. Para ello, haz lo siguiente:

1. Accede a tu instancia de Google Security Operations.

2. En el menú de la aplicación apps, selecciona Configuración > Análisis.

3. Haz clic en filter_alt Filtrar.

4. Selecciona Precompilado, Activo y Precompilado extendido de la lista.

   Se muestran tus analizadores compilados previamente activos. Los analizadores precompilados son analizadores predeterminados que publica Google Security Operations. Si la columna Update contiene Pending como estado, significa que el analizador tiene una actualización que puedes inspeccionar.

5. Haz clic en more_vert Menú y selecciona Ver actualización pendiente en la lista.

   Aparecerá la página Compare parsers. Aquí, puedes ver lo siguiente:

   • La diferencia de código entre la versión actual y la próxima versión del analizador

   • Los registros de cambios en la pestaña Registros de cambios

   • El evento de la AUA generado para el registro sin procesar de muestra

   • La fecha y hora en que se creó el analizador

   • La fecha y hora de la última actualización del código del analizador

   Puedes habilitar la actualización con anticipación, esperar a que se aplique automáticamente en 15 días o inhabilitarla.

Habilita las actualizaciones del analizador con anticipación

La función de administración de analizadores te permite habilitar una actualización de analizador con anticipación y probarla. Puedes habilitar las actualizaciones del analizador con anticipación solo si usas un analizador precompilado. Una vez que habilites la versión preliminar, podrás revertir el analizador a su versión anterior en un plazo de 15 días a partir del lanzamiento de la actualización. Para habilitar la actualización antes, sigue estos pasos:

1. En la página Comparar analizadores, haz clic en Hacer que la actualización del analizador esté activa.

   Aparecerá el diálogo Confirmar actualización del analizador.

2. Haz clic en Confirmar.

   El analizador se elige para la normalización después de 20 minutos.

Inhabilita las actualizaciones del analizador

Para inhabilitar las actualizaciones actuales y futuras del analizador, crea un analizador personalizado. Puedes usar la versión actual o actualizada del analizador como un analizador personalizado. Podrás ver todas las actualizaciones futuras de un analizador personalizado, pero no se aplicarán a menos que las habilites. Para inhabilitar las actualizaciones actuales o futuras, sigue estos pasos:

1. En la página Compare parsers, haz clic en Skip update.

   Aparecerá la ventana Omitir actualización y crear analizador personalizado.

2. Haz clic en Crear analizador personalizado.

3. Para establecer la versión predeterminada del analizador como el analizador personalizado, selecciona Analizador precompilado. Para establecer la versión actualizada como el analizador personalizado, selecciona Actualización pendiente del analizador.

4. Haz clic en Crear.

   La versión seleccionada se elige para la normalización después de 20 minutos. Aparece como Personalizado y Activo en la lista de analizadores de la página Análisis. La versión precompilada anterior aparece como Precompilada y Inactiva.

Administra las actualizaciones del analizador personalizado

Cuando inhabilitas las actualizaciones de los analizadores precompilados, se crea un analizador personalizado. Un analizador personalizado se puede ver en la lista de analizadores como una entrada nueva.

Cómo inhabilitar un analizador personalizado

1. En el menú de la aplicación apps, selecciona Configuración > Análisis.

2. Haz clic en more_vert Menú junto al analizador que deseas inhabilitar y selecciona Inhabilitar en la lista.

   Aparecerá el diálogo Make parser inactive.

3. Haz clic en Hacer inactivo.

El analizador personalizado se desactiva y se activa la versión predeterminada después de 20 minutos. Es decir, el analizador personalizado se convierte en un analizador precompilado. Si creaste un analizador personalizado a partir de un analizador precompilado con actualizaciones, estas se perderán cuando reviertas el analizador personalizado a un analizador precompilado. Debes volver a habilitar las actualizaciones del analizador.

Cómo borrar un analizador personalizado

1. En el menú de la aplicación apps, selecciona Configuración > Análisis.

2. Haz clic en more_vert Menú junto al analizador que deseas borrar y selecciona Borrar en la lista.

   Aparecerá el diálogo Borrar analizador personalizado.

3. Haz clic en Borrar.

El analizador personalizado se borra y se activa la versión predeterminada después de 20 minutos. Es decir, el analizador personalizado se convierte en un analizador precompilado. Si creaste un analizador personalizado a partir de un analizador precompilado con actualizaciones, estas se perderán cuando reviertas el analizador personalizado a un analizador precompilado. Debes volver a habilitar las actualizaciones del analizador.

Crea una extensión

Puedes extender un analizador personalizado o precompilado definiendo instrucciones de asignación personalizadas para extraer datos adicionales de un registro sin procesar original. Puedes insertar los datos en el registro de la UDM que genera un analizador personalizado. No puedes crear un analizador nuevo con extensiones de analizador.

Para obtener información sobre cómo crear extensiones de analizador, consulta Cómo usar extensiones de analizador.

Cómo revertir una actualización temprana de un analizador precompilado

Si habilitaste una actualización del analizador con anticipación, puedes volver a la versión anterior dentro del período de 15 días. Para volver a la versión anterior del analizador, sigue estos pasos:

1. En el menú de la aplicación apps, selecciona Configuración > Análisis.

2. Haz clic en more_vert Menú junto al analizador que deseas revertir.

3. Haz clic en Ver.

   Aparecerá la página Ver analizador precompilado.

4. Haz clic en Revert to previous version (Volver a la versión anterior).

   Aparecerá el diálogo Revert to previous. Puedes hacer clic en Comparar analizadores en el diálogo para ver la diferencia entre la versión actual y la anterior.

5. Haz clic en Confirmar para revertir el analizador a su versión anterior.

   El analizador vuelve a su versión anterior después de 20 minutos.

Controla el acceso a la administración del analizador

De forma predeterminada, los usuarios con los roles de Administrador y Editor pueden administrar las actualizaciones del analizador. Se pueden otorgar nuevos permisos para controlar quién puede ver y administrar las actualizaciones del analizador. Para obtener más información sobre cómo administrar usuarios y grupos, o asignar roles, consulta la guía del usuario del control de acceso basado en roles.