事前構築済みパーサーとカスタム パーサーを管理する
このドキュメントでは、Google Security Operations 内でパーサーを管理する方法について説明します。構築済みパーサーとカスタム パーサーの更新を処理する方法、パーサー拡張機能を作成する方法、パーサー管理機能へのアクセスを制御する方法について説明します。
パーサーのタイプ
パーサーのタイプとその機能について理解する:
| パーサーのタイプ | 説明 |
|---|---|
| 事前構築済み | 元のログデータを UDM フィールドに変換するためのマッピングが組み込まれた、Google SecOps によって作成されたパーサー。 |
| 事前構築済み拡張 | 追加のマッピング指示を使用してお客様が作成した事前構築済みパーサー。元の未加工ログから追加データを抽出し、UDM レコードに挿入します。 |
| カスタム | 元のログデータを UDM フィールドに変換するためのカスタム データ マッピング指示を使用して、お客様が作成するパーサー。 |
| カスタム拡張 | パーサー拡張機能を使用して追加のマッピング指示を行い、元の未加工ログから追加データを抽出し UDM レコードに挿入する、お客様が作成するカスタム パーサー。 |
パーサーのサポートレベル
Google SecOps は、次のレベルのパーサー サポートを提供します。
| パーサーのタイプ | 説明とサポート |
|---|---|
| プレミアム パーサー | Google SecOps は、最も広く使用されている大容量のデータソースから高品質のパーサーを提供します。プレミアム パーサーに関するお客様のリクエストは、通常数日以内に処理されます。 |
| 標準パーサー | その他のサポート対象データソースについては、Google SecOps はベスト エフォート型のサポートを提供します。通常、数週間で対応します。緊急のニーズに対応するには、セルフサービス パーサー拡張機能と自動抽出機能を使用します。 |
| お客様が構築したパーサーと拡張機能 | Google SecOps では、これらのサポートは提供していません。この管理は、単独で行うか、Google パートナーのサポートを受けて行うことをおすすめします。 |
Premium パーサーと Standard パーサーの完全なリストについては、デフォルト パーサーの構成をご覧ください。
未加工ログを Unified Data Model(UDM)形式に解析する概要については、ログ解析の概要をご覧ください。
事前構築済みパーサーのアップデートを管理する
Google SecOps は通常、毎月 4 週目に事前構築済みパーサーをアップデートします。これらのアップデートは、まず早期アクセスとテストのために提供されます。今後のパーサーのアップデートが利用可能になると、パーサーのリストでアップデートが [Pending] とマークされます。以前のパーサー バージョンと新しいパーサー バージョンの違いを確認したり、パーサーのアップデートを早期に有効にしてテストしたり、アップデートをスキップしてカスタム パーサーを作成したりできます。
保留中のアップデートを表示するには、次の操作を行います。
Google SecOps インスタンスにログインします。
[設定] > [SIEM の設定] > [パーサー] を選択します。
[フィルタ] をクリックします。
リストから [Prebuilt]、[Active]、[Prebuilt Extended] を選択します。
有効な(デフォルトの)構築済みパーサーのリストが表示されます。今後行われるパーサーのアップデートは、[Update] 列に [Pending] と表示されます。
[Menu] をクリックし、リストから [View pending update] を選択します。
[Compare parsers] ページが表示されます。ここで、次の内容を表示できます。
現在のパーサー バージョンと今後のもののコードの違い。
[Change logs] タブの変更ログ。
サンプリングされた未加工ログに対して生成された UDM イベント。
パーサーが作成された日時。
パーサー コードが最後にアップデートされた日時。
パーサーのアップデートを早期に有効にするか、アップデートをスキップしてカスタム パーサーを作成するか、月の第 4 週にアップデートが自動適用されるまで待つことができます。
パーサーのアップデートを早期に有効にする
パーサー管理機能を使用すると、パーサーのアップデートを早期に有効にできます。たとえば、テストを行う場合などです。
パーサーのアップデートを早期に有効にするには、次の手順を行います。
[Compare parsers] ページで、[Make parser update active] をクリックします。
[Confirm parser update] ダイアログが表示されます。
[確認] をクリックします。
20 分後に、正規化プロセスでパーサーが有効になります。
構築済みパーサーのアップデートをスキップする
現在の構築済みパーサーと今後の構築済みパーサーのアップデートをスキップするには、次のようにカスタム パーサーを作成します。
[Compare parsers] ページで、[Skip update] をクリックします。
[Skip update and create custom parser] ウィンドウが表示されます。
[Create custom parser] をクリックします。
[Type of parser to start with] で、現在の [Prebuilt Parser] または [Pending Parser Update] を選択します。
[作成] をクリックします。
選択したバージョンは、20 分後に正規化プロセスで有効になります。これは、[Parsers] ページのパーサー リストに、[Custom] と [Active] と表示されます。以前の構築済みバージョンは [Prebuilt] と [Inactive] として表示されます。
事前構築されたパーサーの早期アップデートを元に戻す
パーサーのアップデートを早期に有効にした場合は、アップデートが自動的に有効になる月の第 4 週まで、以前のバージョンに戻すことができます。
以前のパーサー バージョンに戻すには、次の手順に沿って操作します。
のアプリケーション メニューから、[設定] > [パーサー] を選択します。
元に戻すパーサーの [Menu] をクリックします。
[表示] をクリックします。
[View prebuilt parser] ページが表示されます。
[以前のバージョンに戻す] をクリックします。
[Revert to previous] ダイアログが表示されます。ダイアログで [パーサーを比較] をクリックすると、現在のバージョンと以前のものとの違いを確認できます。
[Confirm] をクリックして、パーサーを以前のバージョンに戻します。
20 分後に、パーサーは以前のバージョンに戻ります。
事前構築済みパーサーのバージョンを管理する
Google SecOps は、ログが正しく解析されるように、事前構築済みパーサーを提供して維持します。組織のニーズに合わせて、新しいパーサー バージョンを環境に適用する方法を制御できます。
このセクションでは、Google SecOps におけるフルパーサーのバージョン管理ライフサイクルについて説明します。これには、自動更新の有効化と無効化、バージョン間のロジックの比較、新しいバージョンへの手動更新、以前のバージョンへのロールバックが含まれます。
パーサーの自動更新を有効または無効にする
自動更新をオフにすると、自動更新をオンにするか手動で更新するまで、パーサーは現在のバージョンのままになります。自動更新をオフにするには、次の操作を行います。
のアプリケーション メニューから、[設定] > [パーサー] を選択します。
必要なビルド済みパーサーの [メニュー] をクリックします。
[自動更新を無効にする] をクリックします。
自動更新が有効になっている場合、パーサーは新しい安定版がリリースされるたびに更新されます。自動更新を有効にするには、次の操作を行います。
のアプリケーション メニューから、[設定] > [パーサー] を選択します。
必要なビルド済みパーサーの [メニュー] をクリックします。
[自動更新を有効にする] をクリックします。
パーサーのバージョンを手動で更新する
自動更新がオフになっている場合は、パーサーを新しいバージョンに更新するタイミングを選択できます。これにより、変更を適用する前に変更内容を確認できます。
のアプリケーション メニューから、[設定] > [パーサー] を選択します。
必要なパーサーの メニューをクリックします。
[最新バージョンに更新] を選択します。
[Compare parsers] ページが表示されます。表示される情報は次のとおりです。
現在のパーサー バージョンと新しいパーサー バージョンのコードの違い。
変更をまとめた [変更ログ] タブ。
サンプリングされた未加工ログの UDM 出力。別のログに対して出力をテストするには、 [編集] をクリックして、サンプリングされた未加工ログを編集します。
パーサー コードが最後に更新された日時。
[パーサーを更新] をクリックして、最新バージョンに更新します。
パーサーのバージョンをロールバックする
パーサーは、自動更新のステータスに関係なく、最後に使用したバージョンに戻すことができます。パーサー バージョンをロールバックする手順は次のとおりです。
のアプリケーション メニューから、[設定] > [パーサー] を選択します。
必要なパーサーの メニューをクリックします。
[最後に使用したバージョンにロールバック] を選択します。
[Compare parsers] ページが表示されます。表示される情報は次のとおりです。
現在のパーサー バージョンと最後に使用されたパーサー バージョンのコードの違い。
変更を表示する [変更ログ] タブ。
サンプリングされた未加工ログの UDM 出力。別のログに対して出力をテストするには、 [編集] をクリックして、サンプリングされた未加工ログを編集します。
パーサー コードが最後に更新された日時。
[ロールバックに進む] をクリックして、最後に使用したバージョンに戻します。
パーサーは、最後に使用したバージョンにロールバックされます。たとえば、バージョン 17.0 から 24.0 にアップグレードした場合、ロールバックすると 23.0 ではなく 17.0 に戻ります。
連続してロールバックできるのは 1 回のみです。ロールバックを実行すると、[ロールバック] オプションは使用できなくなります。
以前のパーサー バージョンのサポート ポリシー
バグの修正と機能強化は、プリビルド パーサーの最新の安定版のみに適用されます。自動更新を無効にして以前のパーサー バージョンを使用し続ける場合、そのバージョンにはパッチや更新が適用されません。この以前のバージョンで問題を報告すると、次の安定版リリースで修正が適用されます。この修正を受け取るには、パーサーを手動で最新の安定版にアップグレードする必要があります。
カスタム パーサー
Google SecOps では、事前構築済みパーサーが利用できない場合や、より詳細な制御が必要な場合に、カスタム パーサーを作成できます。カスタム パーサーは、構築済みパーサーとともにパーサーのリストに表示されます。
一般的なユースケースには次のものがあります。
事前構築済みパーサーがないログタイプのログデータを取り込む。
確認は次のいずれかの方法で行います。
事前構築済みパーサーのアップデートをスキップするために、カスタム パーサーを作成する。
マッピング指示に基づいてカスタム パーサーを作成する
元の未加工ログを UDM レコードに変換するコードを記述して、カスタム パーサーを作成できます。
その他の情報:
- パーサーの構造の詳細については、ログ解析の概要をご覧ください。
- パーサー構文の詳細については、パーサー構文リファレンスをご覧ください。
パーサーを作成するときは、可能な限り多くの重要な UDM フィールドに入力するようにしてください。
[設定] に移動します。
[SIEM Settings] に移動します。
[パーサーを作成する] をクリックします。
[Log Source] リストから適切なログソースを選択します。
[Start with Raw Logs Only] を選択し、要件に応じて新しいパーサーを作成します。
[作成] をクリックします。
[Parser Code Terminal] にコードを入力します。詳細については、コード スニペットのマッピング指示を作成するをご覧ください。
省略可: [編集] をクリックして、既存の未加工ログを編集するか、コピーします。
省略可: [] [読み込み] をクリックして、最新の未加工ログを読み込みます。
[Preview] をクリックして UDM の出力を確認します。コードが正しくない場合は、エラー メッセージが表示されます。
プレビューでは、statedump フィルタ プラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。
[Validate] をクリックして、カスタム パーサーを検証します。
検証プロセスには数分かかる場合があるため、まずカスタム パーサーをプレビューし、必要に応じて変更してから、カスタム パーサーを検証することをおすすめします。
[送信] をクリックします。
20 分後に、正規化プロセスでパーサーが有効になります。
既存のパーサーに基づいてカスタム パーサーを作成する
既存のパーサーをテンプレートとして使用して、新しいカスタム パーサーを作成します。この方法は、コードベースのアプローチのみをサポートしています。使用を開始するには、以下の手順に沿って操作します。
のアプリケーション メニューから、[設定] > [パーサー] を選択します。
[パーサーを作成する] をクリックします。
[Log Source] リストから適切なログソースを選択します。
[既存のビルド済みパーサーで開始] を選択し、既存のパーサーをベースとして使用して新しいカスタム パーサーを作成します。
[作成] をクリックします。
パーサーコード ターミナルでコードを編集します。詳細については、コード スニペットのマッピング指示を作成するをご覧ください。
省略可: [編集] をクリックして未加工ログを編集します。
省略可: [] [更新] をクリックして、未加工ログを更新します。
パーサーを構築するコードを追加したら、[Preview] をクリックして UDM 出力を確認します。コードが正しくない場合は、エラー メッセージが表示されます。
プレビューでは、statedump フィルタ プラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。
[Validate] をクリックして、カスタム パーサーを検証します。
検証プロセスには数分かかることがあるため、まずカスタム パーサーをプレビューし、必要に応じて変更してから、カスタム パーサーを検証することをおすすめします。
[送信] をクリックします。
20 分後に、正規化プロセスでパーサーが有効になります。
カスタム パーサーを非アクティブにする
のアプリケーション メニューから、[設定] > [パーサー] を選択します。
無効にするパーサーの [Menu] をクリックし、リストから [Make inactive] を選択します。
[Make parser inactive] ダイアログが表示されます。
[Make inactive] をクリックします。
カスタム パーサーは無効になり、20 分後に現在の構築済みのパーサー バージョンが有効になります。構築済みパーサーがデフォルトのパーサーになります。カスタム パーサーは無効になり、20 分後に現在の構築済みのパーサー バージョンが有効になります。構築済みパーサーがデフォルト パーサーになります。
カスタム パーサーを削除する
のアプリケーション メニューから、[設定] > [パーサー] を選択します。
削除するカスタム パーサーの [Menu] をクリックし、リストから [Delete] を選択します。注: 組み込みパーサーは削除できません。
[Delete custom parser] ダイアログが表示されます。
[削除] をクリックします。
カスタム パーサーは削除され、20 分後に現在の構築済みパーサー バージョンが有効になります。
拡張機能を作成する
パーサー拡張機能を使用すると、既存の構築済み(デフォルト)パーサーとカスタム パーサーの機能を柔軟に拡張できます。事前構築済みパーサーまたはカスタム パーサーを置き換えるものではありません。代わりに、元の未加工ログから UDM レコードに追加フィールドをシームレスに抽出できます。パーサー拡張機能はカスタム パーサーとは異なります。
パーサー拡張機能を作成するには、パーサー拡張機能を使用するをご覧ください。
パーサー管理へのアクセスを制御する
デフォルトでは、管理者と編集者のロールを持つユーザーは、パーサーのアップデートを管理できます。これらのアップデートを表示、管理できるユーザーを制御する新しい権限を付与できます。
ユーザーとグループの管理、またはロールの割り当ての詳細については、ロールベース アクセス制御ユーザーガイドをご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。