Gestire i parser predefiniti e personalizzati
Panoramica
Questo documento fornisce indicazioni su come gestire i parser in Google Security Operations. Descrive in dettaglio come gestire gli aggiornamenti dei parser predefiniti e personalizzati, creare estensioni del parser e controllare l'accesso alle funzionalità di gestione dei parser:
- Gestire gli aggiornamenti del parser predefinito
- Gestire i parser personalizzati
- Creare un'estensione
- Controllare l'accesso alla gestione dei parser
Tipi di parser
Informazioni sui tipi di parser e sulle loro funzioni:
| Tipo di parser | Descrizione |
|---|---|
| Predefinita | Parser creati da Google SecOps che includono mappature integrate per trasformare i dati dei log originali in campi UDM. |
| Estesa predefinita | Un parser predefinito creato dai clienti con istruzioni di mappatura aggiuntive per estrarre dati aggiuntivi da un log non elaborato originale e inserirli nel record UDM. |
| Personalizzato | Parser creati dai clienti con istruzioni di mappatura dei dati personalizzate per trasformare i dati dei log originali in campi UDM. |
| Estesa personalizzata | Un parser personalizzato creato dai clienti con istruzioni di mappatura aggiuntive che utilizza un'estensione del parser per estrarre dati aggiuntivi da un log non elaborato originale e inserirli nel record UDM. |
Livelli di supporto dell'analizzatore sintattico
Google SecOps offre i seguenti livelli di supporto del parser:
| Tipo di parser | Descrizione e assistenza |
|---|---|
| Parser premium | Google SecOps fornisce parser di alta qualità dalle origini dati più utilizzate e con volumi elevati. Le richieste dei clienti per i parser premium vengono generalmente elaborate entro pochi giorni. |
| Parser standard | Per altre origini dati supportate, Google SecOps offre assistenza best effort, con un tempo di risposta tipico di alcune settimane. Per soddisfare le esigenze immediate, puoi utilizzare le estensioni del parser self-service e le funzionalità di estrazione automatica. |
| Parser ed estensioni creati dai clienti | Google SecOps non offre assistenza per questi. Ti consigliamo di gestire questa attività in modo indipendente o con l'assistenza dei partner di Google. |
Per un elenco completo dei parser Premium e Standard, vedi Configurazione predefinita del parser.
Per una panoramica dell'analisi dei log non elaborati nel formato Unified Data Model (UDM), consulta Panoramica dell'analisi dei log.
Gestire gli aggiornamenti del parser predefinito
Google SecOps in genere aggiorna i parser predefiniti durante la quarta settimana di ogni mese. Questi aggiornamenti vengono resi disponibili per primi ai clienti per l'accesso in anteprima e i test. Man mano che diventano disponibili, gli aggiornamenti futuri del parser vengono contrassegnati come aggiornamenti in attesa nell'elenco dei parser. Puoi esaminare la differenza tra le versioni precedenti e più recenti del parser, attivare l'aggiornamento del parser in anticipo per testarlo oppure saltare l'aggiornamento e creare un parser personalizzato.
Per visualizzare l'aggiornamento in attesa:
Accedi alla tua istanza Google SecOps.
Seleziona Impostazioni SIEM > Parser.
Fai clic su Filtra.
Seleziona Predefinito, Attivo e Predefinito esteso dall'elenco.
Viene visualizzato un elenco di parser attivi (predefiniti) predefiniti. Gli aggiornamenti futuri dei parser sono contrassegnati come In attesa nella colonna Aggiornamento.
Fai clic su Menu e seleziona Visualizza aggiornamento in attesa dall'elenco.
Viene visualizzata la pagina Confronta analizzatori. Qui puoi visualizzare quanto segue:
La differenza di codice tra la versione attuale e quella imminente del parser.
I log delle modifiche nella scheda Log delle modifiche.
L'evento UDM generato per il log non elaborato campionato.
La data e l'ora in cui è stato creato il parser.
La data e l'ora dell'ultimo aggiornamento del codice del parser.
Puoi attivare l'aggiornamento del parser in anticipo, saltare l'aggiornamento e creare un parser personalizzato oppure attendere che l'aggiornamento venga applicato automaticamente durante la quarta settimana del mese.
Rendere attivo in anticipo l'aggiornamento del parser
La funzionalità di gestione del parser ti consente di attivare in anticipo l'aggiornamento del parser. Ad esempio, se vuoi testarlo.
Per attivare in anticipo l'aggiornamento del parser:
Nella pagina Confronta analizzatori, fai clic su Rendi attivo l'aggiornamento dell'analizzatore.
Viene visualizzata la finestra di dialogo Conferma aggiornamento parser.
Fai clic su Conferma.
Il parser viene attivato per il processo di normalizzazione dopo 20 minuti.
Salta gli aggiornamenti del parser predefinito
Per ignorare gli aggiornamenti dei parser predefiniti attuali e futuri, crea un parser personalizzato nel seguente modo:
Nella pagina Confronta analizzatori, fai clic su Salta aggiornamento.
Viene visualizzata la finestra Salta aggiornamento e crea parser personalizzato.
Fai clic su Crea parser personalizzato.
Per Tipo di parser da cui iniziare, seleziona il parser predefinito corrente o l'aggiornamento del parser in attesa.
Fai clic su Crea.
La versione selezionata viene attivata per il processo di normalizzazione dopo 20 minuti. Viene visualizzato come Personalizzato e Attivo nell'elenco dei parser nella pagina Parser. La versione predefinita precedente viene visualizzata come Predefinita e Inattiva.
Ripristinare un aggiornamento anticipato del parser predefinito
Se hai attivato l'aggiornamento del parser in anticipo, puoi comunque ripristinare la versione precedente fino alla quarta settimana del mese, quando l'aggiornamento viene attivato automaticamente.
Per tornare alla versione precedente del parser, segui questi passaggi:
Dal menu Applicazione, seleziona Impostazioni > Parser.
Fai clic su Menu accanto al parser che vuoi ripristinare.
Fai clic su Visualizza.
Viene visualizzata la pagina Visualizza analizzatore sintattico predefinito.
Fai clic su Ripristina versione precedente.
Viene visualizzata la finestra di dialogo Ripristina precedente. Puoi fare clic su Confronta analizzatori nella finestra di dialogo per visualizzare la differenza tra la versione attuale e quella precedente.
Fai clic su Conferma per ripristinare la versione precedente del parser.
Dopo 20 minuti, il parser viene ripristinato alla versione precedente.
Parser personalizzati
Google SecOps ti consente di creare parser personalizzati per i casi in cui non è disponibile un parser predefinito o quando vuoi avere un maggiore controllo. I parser personalizzati vengono visualizzati nell'elenco dei parser, insieme a quelli predefiniti.
I casi d'uso comuni includono:
Importazione dei dati di log per un tipo di log che non dispone di un parser predefinito.
Utilizza uno dei seguenti metodi:
Crea un parser personalizzato per saltare gli aggiornamenti del parser predefinito.
Crea un parser personalizzato in base alle istruzioni di mapping
Puoi creare un parser personalizzato scrivendo codice che converte il log non elaborato originale in un record UDM.
Letture aggiuntive:
- Per ulteriori informazioni sulla struttura di un parser, vedi Panoramica dell'analisi dei log.
- Per ulteriori informazioni sulla sintassi del parser, consulta la Guida di riferimento alla sintassi del parser.
Quando crei un parser, cerca di compilare il maggior numero possibile di campi UDM importanti.
Vai a Impostazioni SIEM.
Fai clic su Crea parser.
Seleziona un'origine log appropriata dall'elenco Origine log.
Seleziona Inizia solo con log non elaborati per creare un nuovo parser in base ai tuoi requisiti.
Fai clic su Crea.
Inserisci il codice nel terminale del codice del parser. Per saperne di più, vedi Creare un'istruzione di mappatura degli snippet di codice.
(Facoltativo) Fai clic su Modifica per modificare il log grezzo o la copia esistente.
(Facoltativo) Fai clic su Carica per caricare l'ultimo log non elaborato.
Fai clic su Anteprima per visualizzare l'output UDM. Se il codice non è corretto, viene visualizzato un messaggio di errore.
Nell'anteprima, puoi utilizzare il plug-in di filtro statedump per convalidare lo stato interno di un parser. Per ulteriori informazioni, consulta Convalidare i dati utilizzando il plug-in statedump.
Fai clic su Convalida per convalidare il parser personalizzato.
La procedura di convalida potrebbe richiedere alcuni minuti, pertanto ti consigliamo di visualizzare prima l'anteprima del parser personalizzato, apportare le modifiche necessarie e poi convalidare il parser personalizzato.
Fai clic su Invia.
Il parser viene attivato per il processo di normalizzazione dopo 20 minuti.
Creare un parser personalizzato basato su un parser esistente
Utilizza un parser esistente come modello per creare un nuovo parser personalizzato. Questo metodo supporta solo l'approccio basato su codice. Per iniziare:
Dal menu Applicazione, seleziona Impostazioni > Parser.
Fai clic su Crea parser.
Seleziona un'origine log appropriata dall'elenco Origine log.
Seleziona Inizia con un parser predefinito esistente per utilizzare un parser esistente come base per creare un nuovo parser personalizzato.
Fai clic su Crea.
Modifica il codice nel terminale del codice del parser. Per saperne di più, vedi Creare un'istruzione di mappatura degli snippet di codice.
(Facoltativo) Fai clic su Modifica per modificare il log non elaborato.
(Facoltativo) Fai clic su Aggiorna per aggiornare il log non elaborato.
Man mano che aggiungi il codice per creare il parser, fai clic su Anteprima per visualizzare l'output UDM. Se il codice non è corretto, viene visualizzato un messaggio di errore.
Nell'anteprima, puoi utilizzare il plug-in di filtro statedump per convalidare lo stato interno di un parser. Per ulteriori informazioni, consulta Convalidare i dati utilizzando il plug-in statedump.
Fai clic su Convalida per convalidare il parser personalizzato.
La procedura di convalida può richiedere alcuni minuti, pertanto ti consigliamo di visualizzare prima l'anteprima del parser personalizzato, apportare le modifiche necessarie e poi convalidarlo.
Fai clic su Invia.
Il parser viene attivato per il processo di normalizzazione dopo 20 minuti.
Rendere inattivo un parser personalizzato
Dal menu Applicazione, seleziona Impostazioni > Parser.
Fai clic su Menu accanto al parser che vuoi disattivare e seleziona Disattiva dall'elenco.
Viene visualizzata la finestra di dialogo Rendi inattivo il parser.
Fai clic su Rendi inattivo.
Il parser personalizzato viene disattivato e la versione attuale del parser predefinito viene attivata dopo 20 minuti. Il parser predefinito diventa ora il parser predefinito. Il parser personalizzato viene disattivato e la versione attuale del parser predefinito viene attivata dopo 20 minuti. Il parser predefinito diventa ora il parser predefinito.
Eliminare un parser personalizzato
Dal menu Applicazione, seleziona Impostazioni > Parser.
Fai clic su Menu accanto al parser personalizzato che vuoi eliminare e seleziona Elimina dall'elenco. Nota: non puoi eliminare un parser predefinito.
Viene visualizzata la finestra di dialogo Elimina parser personalizzato.
Fai clic su Elimina.
Il parser personalizzato viene eliminato e la versione attuale del parser predefinito viene attivata dopo 20 minuti.
Crea un'estensione
Le estensioni del parser forniscono un modo flessibile per estendere le funzionalità dei parser predefiniti (predefiniti) e personalizzati esistenti. Non sostituiscono i parser predefiniti o personalizzati. Consentono invece l'estrazione senza problemi di campi aggiuntivi dal log non elaborato originale nel record UDM. Un'estensione del parser è diversa da un parser personalizzato.
Per creare un'estensione parser, consulta Utilizzare le estensioni parser.
Controllare l'accesso alla gestione dei parser
Per impostazione predefinita, gli utenti con i ruoli Amministratore ed Editor possono gestire gli aggiornamenti del parser. È possibile concedere nuove autorizzazioni per controllare chi può visualizzare e gestire questi aggiornamenti.
Per saperne di più sulla gestione di utenti e gruppi o sull'assegnazione dei ruoli, consulta la guida per l'utentcontrollo dell'accessosi basato sui ruoli.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.