Mengelola parser bawaan dan kustom
Ada tiga tingkat dukungan untuk parser yang ditawarkan Google Security Operations:
Parser premium: Google SecOps merilis parser berkualitas tinggi dari sumber data yang paling populer dan bervolume tinggi. Untuk parser premium, Google memproses permintaan pelanggan dalam beberapa hari.
Parser standar: Untuk sumber data tanpa parser premium, Google SecOps menawarkan dukungan terbaik, dengan tim yang menargetkan waktu penyelesaian dalam beberapa minggu.
Anda dapat menggunakan ekstensi parser layanan mandiri dan kemampuan Ekstrak otomatis untuk memenuhi kebutuhan mendesak.
Parser dan ekstensi buatan pelanggan: Google SecOps tidak menawarkan dukungan untuk hal ini. Sebaiknya Anda mengelolanya secara mandiri atau dengan bantuan partner Google.
Untuk daftar lengkap parser Premium dan Standar, lihat Konfigurasi Parser Default.
Dokumen ini menjelaskan cara:
- Membuat dan mengelola parser kustom.
- Dapatkan akses awal ke update parser bawaan mendatang yang dimulai oleh Google Security Operations.
- Perluas petunjuk pemetaan dengan membuat ekstensi parser untuk parser bawaan atau kustom.
- Mengontrol akses ke pengelolaan parser.
Jenis parser:
| Jenis parser | Deskripsi |
|---|---|
| Siap Pakai | Parser yang dibuat oleh Google Security Operations dan berisi petunjuk pemetaan data bawaan untuk mengubah data log asli ke kolom UDM. |
| Siap pakai ekstra | Parser bawaan yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan untuk mengekstrak data tambahan dari log mentah asli dan menyisipkannya ke dalam data UDM. |
| Kustom | Parser yang dibuat oleh pelanggan dengan petunjuk pemetaan data kustom untuk mengubah data log asli menjadi kolom UDM. |
| Ekstra kustom | Parser kustom yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan menggunakan ekstensi parser untuk mengekstrak data tambahan dari log mentah asli dan menyisipkannya ke dalam data UDM. |
Mengelola update parser bawaan
Google Security Operations biasanya mengupdate parser bawaannya selama minggu keempat setiap bulan. Update ini pertama kali tersedia untuk pelanggan guna akses awal dan pengujian. Saat update parser mendatang tersedia, update tersebut akan ditandai sebagai update Tertunda dalam daftar parser. Anda dapat memeriksa perbedaan antara versi parser sebelumnya dan yang lebih baru, atau mengaktifkan update parser lebih awal untuk mengujinya, atau melewati update dan membuat parser kustom.
Untuk melihat pembaruan yang tertunda, lakukan hal berikut:
Login ke instance Google Security Operations Anda.
Dari menu aplikasi , pilih Setelan > Parser.
Klik Filter.
Pilih Pra-buatan, Aktif, dan Pra-buatan yang Diperluas dari daftar.
Daftar parser bawaan yang aktif (default) akan ditampilkan. Update parser mendatang ditandai sebagai Tertunda di kolom Update.
Klik Menu, lalu pilih Lihat update yang tertunda dari daftar.
Halaman Bandingkan parser akan muncul. Di sini, Anda dapat melihat hal berikut:
Perbedaan kode antara versi parser saat ini dan versi mendatang.
Log perubahan di tab Log perubahan.
Peristiwa UDM yang dihasilkan untuk sampel log mentah.
Tanggal dan waktu parser dibuat.
Tanggal dan waktu kode parser terakhir diperbarui.
Anda dapat membuat update parser aktif lebih awal, melewati update dan membuat parser kustom, atau menunggu update diterapkan secara otomatis selama minggu keempat dalam sebulan.
Membuat update parser aktif lebih awal
Fitur pengelolaan parser memungkinkan Anda mengaktifkan update parser lebih awal. Misalnya, jika Anda ingin mengujinya.
Agar update parser aktif lebih awal, ikuti langkah-langkah berikut:
Di halaman Bandingkan parser, klik Aktifkan update parser.
Dialog Konfirmasi update parser akan muncul.
Klik Konfirmasi.
Parser diaktifkan untuk proses normalisasi setelah 20 menit.
Melewati update parser bawaan
Untuk melewati update parser bawaan saat ini dan mendatang, buat parser kustom sebagai berikut:
Di halaman Compare parsers, klik Skip update.
Jendela Lewati update dan buat parser kustom akan muncul.
Klik Buat parser kustom.
Untuk Jenis parser yang akan digunakan, pilih Parser Bawaan saat ini, atau Pembaruan Parser yang Tertunda.
Klik Buat.
Versi yang dipilih diaktifkan untuk proses normalisasi setelah 20 menit. Parser akan muncul sebagai Kustom dan Aktif dalam daftar parser di halaman Parser. Versi bawaan sebelumnya akan muncul sebagai Bawaan dan Tidak aktif.
Mengembalikan update awal parser bawaan
Jika mengaktifkan update parser lebih awal, Anda masih dapat kembali ke versi sebelumnya hingga minggu keempat bulan tersebut, saat update otomatis diaktifkan.
Untuk beralih kembali ke versi parser sebelumnya, ikuti langkah-langkah berikut:
Dari menu aplikasi , pilih Setelan > Parser.
Klik Menu pada parser yang ingin Anda kembalikan.
Klik View.
Halaman Lihat parser bawaan akan muncul.
Klik Kembalikan ke versi sebelumnya.
Dialog Kembalikan ke sebelumnya akan muncul. Anda dapat mengklik Bandingkan Parser di dialog untuk melihat perbedaan antara versi saat ini dan versi sebelumnya.
Klik Konfirmasi untuk mengembalikan parser ke versi sebelumnya.
Parser akan dikembalikan ke versi sebelumnya setelah 20 menit.
Parser kustom
Google Security Operations memberikan fleksibilitas untuk membuat parser kustom karena beberapa alasan, termasuk:
- Buat parser kustom untuk jenis log yang tidak memiliki parser bawaan. Buat parser yang sepenuhnya baru langsung dari log mentah, atau gunakan parser yang ada sebagai dasar untuk parser kustom baru.
- Anda dapat membuat parser kustom untuk melewati update parser bawaan.
Parser kustom ditampilkan dalam daftar parser.
Membuat parser kustom berdasarkan petunjuk pemetaan
Anda dapat membuat parser kustom dengan menulis kode yang mengonversi log mentah asli menjadi data UDM. Untuk struktur parser, lihat Ringkasan penguraian log dan Referensi sintaksis parser untuk mengetahui informasi tentang sintaksis. Saat membuat parser, pastikan petunjuk pemetaan data mengisi sebanyak mungkin kolom UDM penting.
Buka SIEM Settings.
Klik Create Parser.
Pilih sumber log yang sesuai dari daftar Log Source.
Pilih Mulai dengan Log Mentah Saja untuk membuat parser baru sesuai dengan persyaratan Anda.
Klik Buat.
Masukkan kode di Terminal Kode Parser. Untuk informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.
Opsional: Klik untuk mengedit log mentah atau salinan yang ada.
Opsional: Klik untuk memuat log mentah terbaru.
Klik Pratinjau untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.
Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.
Klik Validasi untuk memvalidasi parser kustom.
Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, melakukan perubahan jika diperlukan, lalu memvalidasi parser kustom.
Klik Kirim.
Parser diaktifkan untuk proses normalisasi setelah 20 menit.
Membuat parser kustom dari parser yang ada
Anda dapat menggunakan parser yang ada sebagai template untuk membuat parser baru. Anda dapat membuat parser kustom hanya menggunakan pendekatan kode. Untuk membuat parser kustom dari parser yang ada, ikuti langkah-langkah berikut:
Dari menu aplikasi , pilih Setelan > Parser.
Klik Create Parser.
Pilih sumber log yang sesuai dari daftar Log Source.
Pilih Mulai dengan Parser Bawaan yang Ada untuk menggunakan parser yang ada sebagai dasar untuk membuat parser kustom baru.
Klik Buat.
Edit kode di Terminal Kode Parser. Untuk informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.
Opsional: Klik untuk mengedit log mentah.
Opsional: Klik untuk memuat ulang log mentah.
Saat Anda menambahkan kode untuk mem-build parser, klik Pratinjau untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.
Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.
Klik Validasi untuk memvalidasi parser kustom.
Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, melakukan perubahan jika diperlukan, lalu memvalidasi parser kustom.
Klik Kirim.
Parser diaktifkan untuk proses normalisasi setelah 20 menit.
Membuat parser kustom tidak aktif
Dari menu aplikasi , pilih Setelan > Parser.
Klik Menu pada parser yang ingin Anda nonaktifkan, lalu pilih Nonaktifkan dari daftar.
Dialog Buat parser tidak aktif akan muncul.
Klik Buat tidak aktif.
Parser kustom dinonaktifkan dan versi parser bawaan saat ini diaktifkan setelah 20 menit. Parser bawaan kini menjadi parser default. Parser kustom dinonaktifkan dan versi parser bawaan saat ini diaktifkan setelah 20 menit. Parser bawaan kini menjadi parser default.
Menghapus parser kustom
Dari menu aplikasi , pilih Setelan > Parser.
Klik Menu pada parser kustom yang ingin Anda hapus, lalu pilih Delete dari daftar. Catatan: Anda tidak dapat menghapus parser bawaan.
Dialog Hapus parser kustom akan muncul.
Klik Hapus.
Parser kustom akan dihapus dan versi parser bawaan saat ini akan diaktifkan setelah 20 menit.
Membuat ekstensi
Ekstensi parser memberikan cara yang fleksibel untuk memperluas kemampuan parser bawaan (default) dan parser kustom yang ada. Parser ini tidak menggantikan parser bawaan atau kustom; sebagai gantinya, parser ini memungkinkan ekstraksi kolom tambahan yang lancar dari log mentah asli ke dalam data UDM. Ekstensi parser berbeda dengan parser kustom. Untuk membuat ekstensi parser, lihat Menggunakan ekstensi parser.
Mengontrol akses ke pengelolaan parser
Secara default, pengguna dengan peran Administrator dan Editor dapat mengelola update parser. Izin baru dapat diberikan untuk mengontrol siapa yang dapat melihat dan mengelola update ini. Untuk mengetahui informasi selengkapnya tentang cara mengelola pengguna dan grup, atau menetapkan peran, lihat panduan pengguna kontrol akses berbasis peran.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.