Mengelola parser bawaan dan kustom

Didukung di:

Ringkasan

Dokumen ini memberikan panduan tentang cara mengelola parser dalam Google Security Operations. Bagian ini menjelaskan cara menangani update pada parser bawaan dan kustom, membuat ekstensi parser, dan mengontrol akses ke fitur pengelolaan parser:

Jenis parser

Memahami jenis parser dan fungsinya:

Jenis parser Deskripsi
Siap Pakai Parser yang dibuat oleh Google SecOps yang mencakup pemetaan bawaan untuk mengubah data log asli menjadi kolom UDM.
Siap pakai ekstra Parser bawaan yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan untuk mengekstrak data tambahan dari log raw asli dan memasukkannya ke dalam data UDM.
Kustom Parser yang dibuat oleh pelanggan dengan petunjuk pemetaan data kustom untuk mengubah data log asli menjadi kolom UDM.
Ekstra kustom Parser kustom yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan menggunakan ekstensi parser untuk mengekstrak data tambahan dari log raw asli dan memasukkannya ke dalam rekaman UDM.

Tingkat dukungan parser

Google SecOps menawarkan tingkat dukungan parser berikut:

Jenis Parser Deskripsi dan Dukungan
Parser premium Google SecOps menyediakan parser berkualitas tinggi dari sumber data bervolume tinggi yang paling banyak digunakan. Permintaan pelanggan untuk parser premium biasanya diproses dalam beberapa hari.
Parser standar Untuk sumber data lain yang didukung, Google SecOps menawarkan dukungan upaya terbaik, dengan waktu penyelesaian standar beberapa minggu. Untuk memenuhi kebutuhan mendesak, Anda dapat menggunakan ekstensi parser layanan mandiri dan kemampuan Ekstraksi otomatis.
Parser dan ekstensi buatan pelanggan Google SecOps tidak menawarkan dukungan untuk integrasi ini. Sebaiknya Anda mengelola hal ini secara mandiri atau dengan bantuan dari partner Google.

Untuk daftar lengkap parser Premium dan Standar, lihat Konfigurasi Parser Default.

Untuk mengetahui ringkasan penguraian log mentah ke format Model Data Terpadu (UDM), lihat Ringkasan penguraian log.

Mengelola update parser bawaan

Google SecOps biasanya memperbarui parser bawaannya selama minggu keempat setiap bulan. Update ini pertama-tama tersedia untuk pelanggan yang memiliki akses awal dan untuk pengujian. Saat update parser mendatang tersedia, update tersebut akan ditandai sebagai update Tertunda dalam daftar parser. Anda dapat memeriksa perbedaan antara versi parser yang lebih lama dan yang lebih baru, atau mengaktifkan update parser lebih awal untuk mengujinya, atau melewati update dan membuat parser kustom.

Untuk melihat update yang tertunda, lakukan langkah berikut:

  1. Login ke instance Google SecOps Anda.

  2. Pilih Setelan SIEM > Parser.

  3. Klik Filter.

  4. Pilih Bawaan, Aktif, dan Bawaan yang Diperluas dari daftar.

    Daftar parser bawaan yang aktif (default) akan ditampilkan. Update parser mendatang ditandai sebagai Tertunda di kolom Update.

  5. Klik Menu, lalu pilih Lihat update tertunda dari daftar.

    Halaman Bandingkan parser akan muncul. Di sini, Anda dapat melihat hal-hal berikut:

    • Perbedaan kode antara versi parser saat ini dan yang akan datang.

    • Log perubahan di tab Log perubahan.

    • Peristiwa UDM yang dihasilkan untuk log mentah yang diambil sampelnya.

    • Tanggal dan waktu parser dibuat.

    • Tanggal dan waktu kode parser terakhir diperbarui.

    Anda dapat mengaktifkan update parser lebih awal, melewati update dan membuat parser kustom, atau menunggu update diterapkan secara otomatis selama minggu keempat bulan tersebut.

Mengaktifkan pembaruan parser lebih awal

Fitur pengelolaan parser memungkinkan Anda mengaktifkan update parser lebih awal. Misalnya, jika Anda ingin mengujinya.

Untuk mengaktifkan update parser lebih awal, ikuti langkah-langkah berikut:

  1. Di halaman Compare parser, klik Make parser update active.

    Dialog Konfirmasi update parser akan muncul.

  2. Klik Konfirmasi.

    Parser diaktifkan untuk proses normalisasi setelah 20 menit.

Melewati update parser bawaan

Untuk melewati update parser bawaan saat ini dan mendatang, buat parser kustom sebagai berikut:

  1. Di halaman Compare parser, klik Skip update.

    Jendela Lewati update dan buat parser kustom akan muncul.

  2. Klik Buat parser kustom.

  3. Untuk Jenis parser yang akan digunakan, pilih Parser Siap Pakai saat ini, atau Pembaruan Parser Tertunda.

  4. Klik Buat.

    Versi yang dipilih diaktifkan untuk proses normalisasi setelah 20 menit. Atribut ini muncul sebagai Kustom dan Aktif dalam daftar parser di halaman Parser. Versi bawaan sebelumnya muncul sebagai Bawaan dan Tidak aktif.

Mengembalikan update awal parser bawaan

Jika Anda mengaktifkan update parser lebih awal, Anda masih dapat mengembalikan ke versi sebelumnya hingga minggu keempat bulan tersebut, saat update diaktifkan secara otomatis.

Untuk beralih kembali ke versi parser sebelumnya, ikuti langkah-langkah berikut:

  1. Dari Menu aplikasi, pilih Setelan > Parser.

  2. Klik Menu pada parser yang ingin Anda batalkan.

  3. Klik View.

    Halaman View prebuilt parser akan muncul.

  4. Klik Kembalikan ke versi sebelumnya.

    Dialog Kembali ke versi sebelumnya akan muncul. Anda dapat mengklik Bandingkan Parser pada dialog untuk melihat perbedaan antara versi saat ini dan versi sebelumnya.

  5. Klik Konfirmasi untuk mengembalikan parser ke versi sebelumnya.

    Parser akan dikembalikan ke versi sebelumnya setelah 20 menit.

Parser kustom

Google SecOps memungkinkan Anda membuat parser kustom untuk kasus saat parser bawaan tidak tersedia atau saat Anda menginginkan kontrol yang lebih besar. Parser kustom muncul dalam daftar parser, bersama dengan parser bawaan.

Kasus penggunaan umum mencakup:

Membuat parser kustom berdasarkan petunjuk pemetaan

Anda dapat membuat parser kustom dengan menulis kode yang mengonversi log mentah asli menjadi rekaman UDM.

Bacaan tambahan:

Saat membuat parser, usahakan untuk mengisi sebanyak mungkin kolom UDM penting.

  1. Buka SIEM Settings.

  2. Klik Create Parser.

  3. Pilih sumber log yang sesuai dari daftar Sumber Log.

  4. Pilih Mulai dengan Log Raw Saja untuk membuat parser baru sesuai dengan kebutuhan Anda.

  5. Klik Buat.

  6. Masukkan kode Anda di Parser Code Terminal. Untuk mengetahui informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.

  7. Opsional: Klik Edit untuk mengedit log mentah atau salinan yang ada.

  8. Opsional: Klik Muat untuk memuat log mentah terbaru.

  9. Klik Pratinjau untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.

    Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.

  10. Klik Validasi untuk memvalidasi parser kustom.

    Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, melakukan perubahan jika diperlukan, lalu memvalidasi parser kustom.

  11. Klik Kirim.

    Parser diaktifkan untuk proses normalisasi setelah 20 menit.

Membuat parser kustom berdasarkan parser yang ada

Gunakan parser yang ada sebagai template untuk membuat parser kustom baru. Metode ini hanya mendukung pendekatan berbasis kode. Untuk memulai, ikuti langkah-langkah berikut:

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Create Parser.

  3. Pilih sumber log yang sesuai dari daftar Sumber Log.

  4. Pilih Mulai dengan Parser Siap Pakai yang Ada untuk menggunakan parser yang ada sebagai dasar untuk membuat parser kustom baru.

  5. Klik Buat.

  6. Edit kode Anda di Parser Code Terminal. Untuk mengetahui informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.

  7. Opsional: Klik Edit untuk mengedit log mentah.

  8. Opsional: Klik Muat ulang untuk memuat ulang log mentah.

  9. Saat Anda menambahkan kode untuk membuat parser, klik Pratinjau untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.

    Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.

  10. Klik Validasi untuk memvalidasi parser kustom.

    Proses validasi dapat memakan waktu beberapa menit, jadi sebaiknya pratinjau parser kustom terlebih dahulu, lakukan perubahan jika diperlukan, lalu validasi parser kustom.

  11. Klik Kirim.

    Parser diaktifkan untuk proses normalisasi setelah 20 menit.

Menonaktifkan parser kustom

  1. Dari Menu aplikasi, pilih Setelan > Parser.

  2. Klik Menu pada parser yang ingin Anda nonaktifkan, lalu pilih Nonaktifkan dari daftar.

    Dialog Make parser inactive akan muncul.

  3. Klik Nonaktifkan.

Parser kustom dinonaktifkan dan versi parser bawaan saat ini diaktifkan setelah 20 menit. Parser bawaan kini menjadi parser default. Parser kustom dinonaktifkan dan versi parser bawaan saat ini diaktifkan setelah 20 menit. Parser bawaan kini menjadi parser default.

Menghapus parser kustom

  1. Dari Menu aplikasi, pilih Setelan > Parser.

  2. Klik Menu di samping parser kustom yang ingin Anda hapus, lalu pilih Hapus dari daftar. Catatan: Anda tidak dapat menghapus parser bawaan.

    Dialog Hapus parser kustom akan muncul.

  3. Klik Hapus.

Parser kustom dihapus dan versi parser bawaan saat ini diaktifkan setelah 20 menit.

Membuat ekstensi

Ekstensi parser memberikan cara yang fleksibel untuk memperluas kemampuan parser bawaan (default) dan parser kustom yang ada. Parser ini tidak menggantikan parser bawaan atau kustom. Sebagai gantinya, kolom ini memungkinkan ekstraksi kolom tambahan yang lancar dari log raw asli ke dalam rekaman UDM. Ekstensi parser berbeda dengan parser kustom.

Untuk membuat ekstensi parser, lihat Menggunakan ekstensi parser.

Mengontrol akses ke pengelolaan parser

Secara default, pengguna dengan peran Administrator dan Editor dapat mengelola update parser. Izin baru dapat diberikan untuk mengontrol siapa yang dapat melihat dan mengelola pembaruan ini.

Untuk mengetahui informasi selengkapnya tentang cara mengelola pengguna dan grup, atau menetapkan peran, lihat panduan pengguna kontrol akses berbasis peran.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.