사전 빌드된 커스텀 파서 관리

이 문서에서는 다음 작업을 수행하는 방법을 설명합니다.

• 맞춤 파서를 만들고 관리합니다.
• Google Security Operations에서 시작하는 향후 사전 빌드된 파서 업데이트를 사전 체험해 보세요.
• 사전 빌드된 파서 또는 커스텀 파서의 파서 확장 프로그램을 만들어 매핑 명령어를 확장합니다.
• 파서 관리에 대한 액세스를 제어합니다.

파서 유형:

파서 유형	설명
사전 빌드됨	Google Security Operations에서 생성되며 원본 로그 데이터를 UDM 필드로 변환하기 위한 기본 제공 데이터 매핑 안내가 포함된 파서
사전 빌드된 확장	원본 원시 로그에서 추가 데이터를 추출하여 UDM 레코드에 삽입하기 위한 추가 매핑 안내에 따라 고객이 만든 사전 빌드된 파서
맞춤	원본 로그 데이터를 UDM 필드로 변환하기 위한 커스텀 데이터 매핑 안내에 따라 고객이 만든 파서
맞춤 확장	원본 원시 로그에서 추가 데이터를 추출하여 UDM 레코드에 삽입하기 위한 파서 확장 프로그램을 사용하여 추가 매핑 안내에 따라 고객이 만든 커스텀 파서

사전 빌드된 파서 업데이트 관리

Google Security Operations는 일반적으로 매월 넷째 주에 사전 빌드된 파서를 업데이트합니다. 이러한 업데이트는 먼저 사전 체험판 및 테스트를 위해 고객에게 제공됩니다. 예정된 파서 업데이트가 제공되면 파서 목록에서 대기 중 업데이트로 표시됩니다. 이전 파서 버전과 최신 파서 버전의 차이를 검사하거나 파서 업데이트를 조기에 활성화하여 테스트하거나 업데이트를 건너뛰고 맞춤 파서를 만들 수 있습니다.

대기 중인 업데이트를 보려면 다음 단계를 따르세요.

1. Google Security Operations 인스턴스에 로그인합니다.

2. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

3. filter_alt필터를 클릭합니다.

4. 목록에서 사전 빌드, 활성, 사전 빌드 확장을 선택합니다.

   활성 (기본값) 사전 빌드 파서 목록이 표시됩니다. 예정된 파서 업데이트는 업데이트 열에 대기 중으로 표시됩니다.

5. more_vert 메뉴를 클릭하고 목록에서 대기 중인 업데이트 보기를 선택합니다.

   파서 비교 페이지가 표시됩니다. 여기에서 다음을 확인할 수 있습니다.

   • 현재 파서 버전과 향후 파서 버전 간의 코드 차이입니다.

   • 변경 로그 탭의 변경 로그

   • 샘플링된 원시 로그에 대해 생성된 UDM 이벤트입니다.

   • 파서가 생성된 날짜 및 시간입니다.

   • 파서 코드가 마지막으로 업데이트된 날짜 및 시간입니다.

   파서 업데이트를 일찍 활성화하거나, 업데이트를 건너뛰고 맞춤 파서를 만들거나, 매월 4주차에 업데이트가 자동으로 적용될 때까지 기다릴 수 있습니다.

파서 업데이트를 일찍 활성화합니다.

파서 관리 기능을 사용하면 파서 업데이트를 조기에 활성화할 수 있습니다. 예를 들어 테스트하려는 경우

파서 업데이트를 조기에 활성화하려면 다음 단계를 따르세요.

1. 파서 비교 페이지에서 파서 업데이트 활성화를 클릭합니다.

   파서 업데이트 확인 대화상자가 표시됩니다.

2. 확인을 클릭합니다.

   파서는 20분 후에 정규화 프로세스를 위해 활성화됩니다.

사전 빌드된 파서 업데이트 건너뛰기

현재 및 향후 사전 빌드된 파서 업데이트를 건너뛰려면 다음과 같이 맞춤 파서를 만듭니다.

1. 파서 비교 페이지에서 업데이트 건너뛰기를 클릭합니다.

   업데이트 건너뛰기 및 맞춤 파서 만들기 창이 표시됩니다.

2. 맞춤 파서 만들기를 클릭합니다.

3. 시작할 파서 유형에서 현재 사전 빌드된 파서 또는 대기 중인 파서 업데이트를 선택합니다.

4. 만들기를 클릭합니다.

   선택한 버전은 20분 후에 정규화 프로세스를 위해 활성화됩니다. 버전은 파서 페이지의 파서 목록에 맞춤 및 활성으로 표시됩니다. 사전 빌드된 이전 버전은 사전 빌드 및 비활성으로 표시됩니다.

사전 빌드된 파서의 초기 업데이트 되돌리기

파서 업데이트를 일찍 활성화한 경우 업데이트가 자동으로 활성화되는 매월 4주차까지 이전 버전으로 되돌릴 수 있습니다.

이전 파서 버전으로 다시 전환하려면 다음 단계를 따르세요.

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 되돌리려는 파서에 대한 more_vert 메뉴를 클릭합니다.

3. 보기를 클릭합니다.

   사전 빌드된 파서 보기 페이지가 표시됩니다.

4. 이전 버전으로 되돌리기를 클릭합니다.

   이전으로 되돌리기 대화상자가 나타납니다. 대화상자에서 파서 비교를 클릭하여 현재 버전과 이전 버전의 차이를 확인할 수 있습니다.

5. 확인을 클릭하여 파서를 이전 버전으로 되돌립니다.

   20분 후 파서는 이전 버전으로 되돌아갑니다.

맞춤 파서

Google Security Operations는 다음과 같은 여러 가지 이유로 커스텀 파서를 유연하게 만들 수 있는 기능을 제공합니다.

• 사전 빌드된 파서가 없는 로그 유형의 커스텀 파서를 만듭니다. 원시 로그에서 직접 완전히 새로운 파서를 만들거나 기존 파서를 새 커스텀 파서의 기반으로 사용합니다.
• 커스텀 파서를 만들어 사전 빌드된 파서 업데이트를 건너뛰어도 됩니다.

맞춤 파서는 파서 목록에 표시됩니다.

매핑 명령어 기반의 커스텀 파서 만들기

원본 원시 로그를 UDM 레코드로 변환하는 코드를 작성하여 맞춤 파서를 만들 수 있습니다. 파서 구조에 대한 자세한 내용은 로그 파싱 개요를 참조하고 구문에 대한 자세한 내용은 파서 문법 참조를 확인하세요. 파서를 만들 때 데이터 매핑 안내에 최대한 많은 중요 UDM 필드를 채워야 합니다.

1. SIEM 설정으로 이동합니다.

2. 파서 만들기를 클릭합니다.

3. 로그 소스 목록에서 적절한 로그 소스를 선택합니다.

4. 원시 로그만으로 시작을 선택하여 요구사항에 따라 새 파서를 만듭니다.

5. 만들기를 클릭합니다.

6. 파서 코드 터미널에 코드를 입력합니다. 자세한 내용은 코드 스니펫 매핑 명령어 만들기를 참조하세요.

7. 선택사항: edit를 클릭하여 기존 원시 로그나 복사본을 수정합니다.

8. 선택사항: refresh를 클릭하여 최신 원시 로그를 로드합니다.

9. 미리보기를 클릭하여 UDM 출력을 확인합니다. 코드가 잘못되면 오류 메시지가 표시됩니다.

   미리보기에서는 statedump 필터 플러그인을 사용하여 파서의 내부 상태를 확인할 수 있습니다. 자세한 내용은 statedump 플러그인을 사용하여 데이터 검증을 참조하세요.

10. 커스텀 파서를 검증하려면 검증을 클릭합니다.

    검증 프로세스는 몇 분 정도 걸릴 수 있으므로 먼저 커스텀 파서를 미리 보고 필요한 경우 변경한 다음 커스텀 파서를 검증하는 것이 좋습니다.

11. 제출을 클릭합니다.

    파서는 20분 후에 정규화 프로세스를 위해 활성화됩니다.

기존 파서에서 커스텀 파서 만들기

기존 파서를 템플릿으로 사용하여 새 파서를 만들 수 있습니다. 코드 접근 방식만 사용하여 맞춤 파서를 만들 수 있습니다. 기존 파서에서 맞춤 파서를 만들려면 다음 단계를 따르세요.

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 파서 만들기를 클릭합니다.

3. 로그 소스 목록에서 적절한 로그 소스를 선택합니다.

4. 기존 사전 빌드된 파서로 시작을 선택하여 기존 파서를 새 커스텀 파서를 만들기 위한 기본으로 사용합니다.

5. 만들기를 클릭합니다.

6. 파서 코드 터미널에서 코드를 수정합니다. 자세한 내용은 코드 스니펫 매핑 명령어 만들기를 참조하세요.

7. 선택사항: edit를 클릭하여 원시 로그를 수정합니다.

8. 선택사항: refresh를 클릭하여 원시 로그를 새로고침합니다.

9. 파서를 빌드하는 코드를 추가할 때 미리보기를 클릭하여 UDM 출력을 확인합니다. 코드가 잘못되면 오류 메시지가 표시됩니다.

   미리보기에서는 statedump 필터 플러그인을 사용하여 파서의 내부 상태를 확인할 수 있습니다. 자세한 내용은 statedump 플러그인을 사용하여 데이터 검증을 참조하세요.

10. 커스텀 파서를 검증하려면 검증을 클릭합니다.

    검증 프로세스는 몇 분 정도 걸릴 수 있으므로 먼저 커스텀 파서를 미리 보고 필요한 경우 변경한 다음 커스텀 파서를 검증하는 것이 좋습니다.

11. 제출을 클릭합니다.

    파서는 20분 후에 정규화 프로세스를 위해 활성화됩니다.

커스텀 파서 비활성화

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 비활성화하려는 파서에 대한 more_vert 메뉴를 클릭하고 목록에서 비활성화를 선택합니다.

   파서 비활성화 대화상자가 표시됩니다.

3. 비활성화를 클릭합니다.

맞춤 파서가 비활성화되고 20분 후에 현재 사전 빌드된 파서 버전이 활성화됩니다. 이제 사전 빌드된 파서가 기본 파서가 됩니다. 맞춤 파서가 비활성화되고 20분 후에 현재 사전 빌드된 파서 버전이 활성화됩니다. 이제 사전 빌드된 파서가 기본 파서가 됩니다.

맞춤 파서 삭제

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 삭제하려는 맞춤 파서에 대한 more_vert 메뉴를 클릭하고 목록에서 삭제를 선택합니다. 참고: 사전 빌드된 파서는 삭제할 수 없습니다.

   커스텀 파서 삭제 대화상자가 표시됩니다.

3. 삭제를 클릭합니다.

맞춤 파서가 삭제되고 20분 후에 현재 사전 빌드된 파서 버전이 활성화됩니다.

확장 프로그램 만들기

파서 확장 프로그램은 기존 사전 빌드된 (기본) 파서와 맞춤 파서의 기능을 유연하게 확장하는 방법을 제공합니다. 사전 빌드된 파서나 커스텀 파서를 대체하지는 않습니다. 대신 원본 원시 로그에서 UDM 레코드로 추가 필드를 원활하게 추출할 수 있도록 합니다. 파서 확장 프로그램은 맞춤 파서와 다릅니다. 파서 확장 프로그램을 만들려면 파서 확장 프로그램 사용을 참고하세요.

파서 관리에 대한 액세스 제어

기본적으로 관리자 및 편집자 역할이 있는 사용자는 파서 업데이트를 관리할 수 있습니다. 이러한 업데이트를 보고 관리할 수 있는 사용자를 제어하기 위해 새 권한을 부여할 수 있습니다. 사용자 및 그룹 관리 또는 역할 할당에 대한 자세한 내용은 역할 기반 액세스 제어 사용자 가이드를 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.