Cette page a été traduite par l'API Cloud Translation.

Gérer les analyseurs prédéfinis et personnalisés

Compatible avec :

Google SecOps SIEM

Présentation

Ce document explique comment gérer les analyseurs dans Google Security Operations. Il explique en détail comment gérer les mises à jour des analyseurs prédéfinis et personnalisés, créer des extensions d'analyseurs et contrôler l'accès aux fonctionnalités de gestion des analyseurs :

Gérer les mises à jour des analyseurs prédéfinis
Gérer les analyseurs personnalisés
Créer une extension
Contrôler l'accès à la gestion des analyseurs

Types d'analyseurs

Comprendre les types d'analyseurs et leurs fonctions :

Type d'analyseur	Description
Prédéfini	Analyseurs créés par Google SecOps qui incluent des mappages intégrés permettant de transformer les données de journaux d'origine en champs UDM.
Prédéfini étendu	Analyseur prédéfini créé par les clients avec des instructions de mappage supplémentaires pour extraire des données supplémentaires d'un journal brut d'origine et les insérer dans l'enregistrement UDM.
Personnalisé	Analyseurs créés par les clients avec des instructions de mappage de données personnalisées pour transformer les données de journaux d'origine en champs UDM.
Personnalisé étendu	Analyseur personnalisé créé par les clients avec des instructions de mappage supplémentaires à l'aide d'une extension d'analyseur pour extraire des données supplémentaires d'un journal brut d'origine et les insérer dans l'enregistrement UDM.

Niveaux de compatibilité des analyseurs

Google SecOps propose les niveaux d'assistance suivants pour les analyseurs :

Type d'analyseur	Description et assistance
Analyseurs Premium	Google SecOps fournit des analyseurs de haute qualité à partir des sources de données les plus utilisées et à volume élevé. Les demandes de clients concernant les analyseurs premium sont généralement traitées sous quelques jours.
Analyseurs standards	Pour les autres sources de données compatibles, Google SecOps propose une assistance au mieux de ses capacités, avec un délai de réponse généralement de quelques semaines. Pour répondre à vos besoins immédiats, vous pouvez utiliser les extensions d'analyseur en libre-service et les fonctionnalités d'extraction automatique.
Analyseurs et extensions créés par les clients	Google SecOps ne fournit aucune assistance pour ces intégrations. Nous vous recommandons de gérer cela de manière indépendante ou avec l'aide de partenaires Google.

Pour obtenir la liste complète des analyseurs Premium et Standard, consultez Configuration par défaut de l'analyseur.

Pour obtenir une présentation de l'analyse des journaux bruts au format UDM (Unified Data Model), consultez Présentation de l'analyse des journaux.

Gérer les mises à jour des analyseurs prédéfinis

Google SecOps met généralement à jour ses analyseurs prédéfinis au cours de la quatrième semaine de chaque mois. Ces mises à jour sont d'abord proposées aux clients pour un accès anticipé et des tests. Lorsque des mises à jour de l'analyseur sont disponibles, elles sont marquées comme En attente dans la liste des analyseurs. Vous pouvez examiner la différence entre les versions ancienne et nouvelle de l'analyseur, ou activer la mise à jour de l'analyseur de manière anticipée pour la tester, ou ignorer la mise à jour et créer un analyseur personnalisé.

Pour afficher la mise à jour en attente :

Connectez-vous à votre instance Google SecOps.
Sélectionnez Paramètres SIEM > Analyseurs.
Cliquez sur Filtrer.
Sélectionnez Prédéfini, Actif et Prédéfini étendu dans la liste.

Une liste des analyseurs actifs (par défaut) et prédéfinis s'affiche. Les prochaines mises à jour des analyseurs sont marquées comme En attente dans la colonne Mise à jour.
Cliquez sur Menu, puis sélectionnez Afficher la mise à jour en attente dans la liste.

La page Comparer les analyseurs s'affiche. Vous pouvez y consulter les éléments suivants :
- Différence de code entre la version actuelle et la prochaine version de l'analyseur.
- Les journaux des modifications dans l'onglet Journaux des modifications.
- Événement UDM généré pour le journal brut échantillonné.
- Date et heure de création de l'analyseur.
- Date et heure de la dernière mise à jour du code du parseur.
Vous pouvez activer la mise à jour du parseur de manière anticipée, ignorer la mise à jour et créer un parseur personnalisé, ou attendre que la mise à jour soit appliquée automatiquement au cours de la quatrième semaine du mois.

Activer la mise à jour de l'analyseur plus tôt

La fonctionnalité de gestion des analyseurs vous permet d'activer la mise à jour de l'analyseur plus tôt. Par exemple, si vous souhaitez le tester.

Pour activer la mise à jour de l'analyseur plus tôt, procédez comme suit :

Sur la page Comparer les analyseurs, cliquez sur Activer la mise à jour de l'analyseur.

La boîte de dialogue Confirmer la mise à jour de l'analyseur s'affiche.
Cliquez sur Confirmer.

L'analyseur est activé pour le processus de normalisation au bout de 20 minutes.

Remarque : Cette version de l'analyseur reste active jusqu'au prochain cycle de publication.

Ignorer les mises à jour des analyseurs prédéfinis

Pour ignorer les mises à jour des analyseurs prédéfinis actuels et futurs, créez un analyseur personnalisé comme suit :

Sur la page Comparer les analyseurs, cliquez sur Ignorer la mise à jour.

La fenêtre Ignorer la mise à jour et créer un analyseur personnalisé s'affiche.
Cliquez sur Créer un analyseur syntaxique personnalisé.
Pour Type d'analyseur avec lequel commencer, sélectionnez l'analyseur prédéfini actuel ou la mise à jour de l'analyseur en attente.
Cliquez sur Créer.

Remarque : Si un analyseur personnalisé existe déjà pour cette source de journal, vous ne pouvez pas en créer un autre. Le message suivant s'affiche : Un analyseur personnalisé existe déjà pour cette source de journal.

La version sélectionnée est activée pour le processus de normalisation au bout de 20 minutes. Il apparaît sous le nom Personnalisé et Actif dans la liste des analyseurs sur la page Analyseurs. L'ancienne version prédéfinie s'affiche sous Prédéfinie et Inactive.

Remarque : Toutes les futures mises à jour des analyseurs prédéfinis restent visibles, mais elles ne sont pas appliquées, sauf si vous désactivez l'analyseur personnalisé et revenez à la version prédéfinie.

Rétablir une mise à jour anticipée de l'analyseur syntaxique prédéfini

Si vous avez activé la mise à jour de l'analyseur plus tôt, vous pouvez toujours revenir à la version précédente jusqu'à la quatrième semaine du mois, lorsque la mise à jour est automatiquement activée.

Pour revenir à la version précédente de l'analyseur, procédez comme suit :

Dans le menu Application , sélectionnez Paramètres > Analyseurs.
Cliquez sur Menu à côté de l'analyseur que vous souhaitez rétablir.
Cliquez sur Afficher.

La page Afficher l'analyseur prédéfini s'affiche.
Cliquez sur Revenir à la version précédente.

La boîte de dialogue Rétablir la version précédente s'affiche. Vous pouvez cliquer sur Comparer les analyseurs dans la boîte de dialogue pour voir la différence entre la version actuelle et la version précédente.
Cliquez sur Confirmer pour rétablir la version précédente de l'analyseur.

L'analyseur est rétabli dans sa version précédente au bout de 20 minutes.

Analyseurs personnalisés

Google SecOps vous permet de créer des analyseurs personnalisés dans les cas où aucun analyseur prédéfini n'est disponible ou lorsque vous souhaitez avoir plus de contrôle. Les analyseurs personnalisés apparaissent dans la liste des analyseurs, à côté des analyseurs prédéfinis.

Vous trouverez ci-dessous des cas d'utilisation courants :

Ingérer des données de journaux pour un type de journal qui ne dispose pas d'un analyseur prédéfini.

Pour ce faire, utilisez une des méthodes suivantes :
- Créez un analyseur personnalisé basé sur les instructions de mappage des journaux bruts.
- Créez un analyseur personnalisé basé sur un analyseur existant.
Créez un analyseur personnalisé pour ignorer les mises à jour de l'analyseur prédéfini.

Créer un analyseur personnalisé en fonction des instructions de mappage

Vous pouvez créer un analyseur personnalisé en écrivant du code qui convertit le journal brut d'origine en enregistrement UDM.

Autres ressources :

Pour en savoir plus sur la structure d'un analyseur, consultez Présentation de l'analyse des journaux.
Pour en savoir plus sur la syntaxe de l'analyseur, consultez la documentation de référence sur la syntaxe de l'analyseur.

Lorsque vous créez un analyseur, essayez de remplir autant de champs UDM importants que possible.

Accédez aux paramètres SIEM.
Cliquez sur Créer un analyseur.
Sélectionnez une source de journaux appropriée dans la liste Source de journaux.
Sélectionnez Commencer avec des journaux bruts uniquement pour créer un analyseur selon vos besoins.
Cliquez sur Créer.
Saisissez votre code dans le terminal de code du parseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extrait de code.
Facultatif : Cliquez sur Modifier pour modifier le journal brut ou la copie existants.
Facultatif : Cliquez sur Charger pour charger le dernier journal brut.
Cliquez sur Aperçu pour afficher la sortie UDM. Un message d'erreur s'affiche si le code est incorrect.

Dans l'aperçu, vous pouvez utiliser le plug-in de filtre statedump pour valider l'état interne d'un analyseur. Pour en savoir plus, consultez Valider les données à l'aide du plug-in statedump.
Cliquez sur Valider pour valider l'analyseur personnalisé.

Le processus de validation peut prendre quelques minutes. Nous vous recommandons donc de prévisualiser d'abord l'analyseur personnalisé, d'apporter les modifications nécessaires, puis de valider l'analyseur personnalisé.
Cliquez sur Envoyer.

L'analyseur est activé pour le processus de normalisation au bout de 20 minutes.

Créer un analyseur personnalisé basé sur un analyseur existant

Utilisez un analyseur existant comme modèle pour créer un analyseur personnalisé. Cette méthode n'est compatible qu'avec l'approche basée sur du code. Voici la procédure à suivre :

Dans le menu Application , sélectionnez Paramètres > Analyseurs.
Cliquez sur Créer un analyseur.
Sélectionnez une source de journaux appropriée dans la liste Source de journaux.
Sélectionnez Commencer avec un analyseur prédéfini existant pour utiliser un analyseur existant comme base pour créer un analyseur personnalisé.

Remarque : Si la source de journaux sélectionnée ne dispose pas d'un analyseur prédéfini, cette option ne s'affiche pas.
Cliquez sur Créer.
Modifiez votre code dans le terminal de code du parseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extrait de code.
Facultatif : Cliquez sur Modifier pour modifier le journal brut.
Facultatif : Cliquez sur Actualiser pour actualiser le journal brut.
À mesure que vous ajoutez du code pour créer l'analyseur, cliquez sur Prévisualiser pour afficher la sortie UDM. Un message d'erreur s'affiche si le code est incorrect.

Dans l'aperçu, vous pouvez utiliser le plug-in de filtre statedump pour valider l'état interne d'un analyseur. Pour en savoir plus, consultez Valider les données à l'aide du plug-in statedump.
Cliquez sur Valider pour valider l'analyseur personnalisé.

Le processus de validation peut prendre quelques minutes. Nous vous recommandons donc de prévisualiser d'abord le parseur personnalisé, d'apporter les modifications nécessaires, puis de le valider.
Cliquez sur Envoyer.

L'analyseur est activé pour le processus de normalisation au bout de 20 minutes.

Désactiver un analyseur personnalisé

Dans le menu Application , sélectionnez Paramètres > Analyseurs.
Cliquez sur Menu à côté du parseur que vous souhaitez désactiver, puis sélectionnez Make inactive (Désactiver) dans la liste.

La boîte de dialogue Rendre l'analyseur inactif s'affiche.
Cliquez sur Rendre inactif.

L'analyseur personnalisé est désactivé et la version actuelle de l'analyseur prédéfini est activée au bout de 20 minutes. L'analyseur syntaxique prédéfini devient l'analyseur syntaxique par défaut. L'analyseur personnalisé est désactivé et la version actuelle de l'analyseur prédéfini est activée au bout de 20 minutes. L'analyseur syntaxique prédéfini devient l'analyseur syntaxique par défaut.

Supprimer un analyseur personnalisé

Dans le menu Application , sélectionnez Paramètres > Analyseurs.
Cliquez sur le menu à côté du parseur personnalisé que vous souhaitez supprimer, puis sélectionnez Supprimer dans la liste. Remarque : Vous ne pouvez pas supprimer un analyseur prédéfini.

La boîte de dialogue Supprimer l'analyseur personnalisé s'affiche.
Cliquez sur Supprimer.

L'analyseur personnalisé est supprimé et la version actuelle de l'analyseur prédéfini est activée au bout de 20 minutes.

Créer une extension

Les extensions d'analyseur offrent un moyen flexible d'étendre les capacités des analyseurs prédéfinis (par défaut) et personnalisés existants. Ils ne remplacent pas les analyseurs prédéfinis ni personnalisés. Ils permettent plutôt d'extraire facilement des champs supplémentaires du journal brut d'origine dans l'enregistrement UDM. Une extension d'analyseur est différente d'un analyseur personnalisé.

Pour créer une extension d'analyseur, consultez Utiliser les extensions d'analyseur.

Contrôler l'accès à la gestion des analyseurs

Par défaut, les utilisateurs disposant des rôles Administrateur et Éditeur peuvent gérer les mises à jour de l'analyseur. De nouvelles autorisations peuvent être accordées pour contrôler qui peut consulter et gérer ces mises à jour.

Pour en savoir plus sur la gestion des utilisateurs et des groupes, ou sur l'attribution de rôles, consultez le guide de l'utilisateur sur le contrôle des accès basé sur les rôles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.