Gerenciar analisadores pré-criados e personalizados
Visão geral
Este documento fornece orientações sobre como gerenciar analisadores no Google Security Operations. Ele detalha como lidar com atualizações de analisadores predefinidos e personalizados, criar extensões de analisador e controlar o acesso aos recursos de gerenciamento de analisadores:
- Gerenciar atualizações de analisadores sintáticos pré-criados
- Gerenciar analisadores personalizados
- Criar uma extensão
- Controlar o acesso ao gerenciamento de analisadores
Tipos de analisadores
Entender os tipos de analisadores e as funções deles:
| Tipo de analisador | Descrição |
|---|---|
| Pré-criado | Analisadores criados pelo Google SecOps que incluem mapeamentos integrados para transformar dados de registro originais em campos do UDM. |
| Pré-criado estendido | Um analisador pré-criado criado por clientes com instruções de mapeamento adicionais para extrair mais dados de um registro bruto original e inserir no registro do UDM. |
| Personalizado | Analisadores criados por clientes com instruções de mapeamento de dados personalizadas para transformar dados de registro originais em campos do UDM. |
| Estendido personalizado | Um analisador personalizado criado por clientes com instruções de mapeamento adicionais usando uma extensão de analisador para extrair mais dados de um registro bruto original e inserir no registro do UDM. |
Níveis de suporte do analisador
O Google SecOps oferece estes níveis de suporte a analisadores:
| Tipo de analisador | Descrição e suporte |
|---|---|
| Analizadores premium | O Google SecOps oferece analisadores de alta qualidade das fontes de dados de alto volume mais usadas. As solicitações de clientes por analisadores premium geralmente são processadas em alguns dias. |
| Analizadores padrão | Para outras fontes de dados compatíveis, o Google SecOps oferece suporte de melhor esforço, com um tempo de resposta típico de algumas semanas. Para atender às necessidades imediatas, use extensões de analisador de autoatendimento e recursos de extração automática. |
| Analisadores e extensões criados pelo cliente | O Google SecOps não oferece suporte para essas ferramentas. Recomendamos que você gerencie isso de forma independente ou com a ajuda de parceiros do Google. |
Para uma lista completa de analisadores Premium e Standard, consulte Configuração padrão do analisador.
Para uma visão geral da análise de registros brutos no formato do modelo de dados unificado (UDM), consulte Visão geral da análise de registros.
Gerenciar atualizações de analisadores pré-criados
Normalmente, o Google SecOps atualiza os analisadores sintáticos pré-criados na quarta semana de cada mês. Essas atualizações são disponibilizadas primeiro para clientes com acesso antecipado e para testes. Quando as próximas atualizações do analisador ficarem disponíveis, elas serão marcadas como Pendente na lista de analisadores. É possível examinar a diferença entre as versões mais antigas e mais recentes do analisador, ativar a atualização do analisador com antecedência para testá-la ou pular a atualização e criar um analisador personalizado.
Para ver a atualização pendente, faça o seguinte:
Faça login na sua instância do Google SecOps.
Selecione Configurações do SIEM > Analizadores.
Clique em Filtrar.
Selecione Pré-criado, Ativo e Pré-criado estendido na lista.
Uma lista de analisadores ativos (padrão) e pré-criados é exibida. As próximas atualizações do analisador são marcadas como Pendente na coluna Atualização.
Clique em Menu e selecione Ver atualização pendente na lista.
A página Comparar analisadores é exibida. Aqui, você pode conferir:
A diferença de código entre a versão atual e a próxima do analisador.
Os registros de mudanças na guia Registros de mudanças.
O evento de UDM gerado para o registro bruto amostrado.
A data e a hora em que o analisador foi criado.
A data e a hora em que o código do analisador foi atualizado pela última vez.
Você pode ativar a atualização do analisador mais cedo, pular a atualização e criar um analisador personalizado ou esperar que a atualização seja aplicada automaticamente durante a quarta semana do mês.
Ativar a atualização do analisador com antecedência
Com o recurso de gerenciamento de analisadores, é possível ativar a atualização do analisador com antecedência. Por exemplo, se você quiser testar.
Para ativar a atualização do analisador antes do tempo, siga estas etapas:
Na página Comparar analisadores, clique em Ativar atualização do analisador.
A caixa de diálogo Confirmar atualização do analisador aparece.
Clique em Confirmar.
O analisador é ativado para o processo de normalização após 20 minutos.
Pular atualizações do analisador sintático pré-criado
Para pular as atualizações atuais e futuras do analisador sintático pré-criado, crie um analisador sintático personalizado da seguinte maneira:
Na página Comparar analisadores, clique em Pular atualização.
A janela Pular atualização e criar analisador personalizado vai aparecer.
Clique em Criar analisador personalizado.
Em Tipo de analisador para começar, selecione o Analisador pré-criado atual ou a Atualização pendente do analisador.
Clique em Criar.
A versão selecionada é ativada para o processo de normalização após 20 minutos. Ele aparece como Personalizado e Ativo na lista de analisadores na página Analisadores. A versão pré-criada anterior aparece como Pré-criada e Inativa.
Reverter uma atualização antecipada do analisador sintático pré-criado
Se você ativou a atualização do analisador antes, ainda é possível reverter para a versão anterior até a quarta semana do mês, quando a atualização é ativada automaticamente.
Para voltar à versão anterior do analisador, siga estas etapas:
No menu "Aplicativo", selecione Configurações > Analistas.
Clique em Menu no analisador que você quer reverter.
Clique em Visualizar.
A página Ver analisador sintático pré-criado aparece.
Clique em Reverter para a versão anterior.
A caixa de diálogo Reverter para a versão anterior aparece. Clique em Comparar analisadores na caixa de diálogo para ver a diferença entre as versões atual e anterior.
Clique em Confirmar para reverter o analisador para a versão anterior.
O analisador volta à versão anterior após 20 minutos.
Analisadores personalizados
Com o Google SecOps, é possível criar analisadores personalizados para casos em que um analisador pré-criado não está disponível ou quando você quer ter mais controle. Os analisadores personalizados aparecem na lista de analisadores, ao lado dos predefinidos.
Os casos de uso comuns incluem:
Ingerir dados de registro de um tipo que não tem um analisador predefinido.
Use um dos seguintes métodos:
Crie um analisador personalizado para ignorar atualizações do analisador pré-criado.
Criar um analisador personalizado com base em instruções de mapeamento
É possível criar um analisador personalizado escrevendo um código que converte o registro de log bruto original em um registro da UDM.
Mais informações:
- Para mais informações sobre a estrutura de um analisador, consulte Visão geral da análise de registros.
- Para mais informações sobre a sintaxe do analisador, consulte Referência de sintaxe do analisador.
Ao criar um analisador, tente preencher o máximo possível de campos importantes da UDM.
Acesse Configurações do SIEM.
Clique em Criar analisador.
Selecione uma origem de registro adequada na lista Origem de registro.
Selecione Começar apenas com registros brutos para criar um novo analisador de acordo com seus requisitos.
Clique em Criar.
Insira seu código no Terminal de código do analisador. Para mais informações, consulte Criar uma instrução de mapeamento de snippet de código.
Opcional: clique em Editar para editar o registro bruto ou a cópia.
Opcional: clique em Carregar para carregar o registro bruto mais recente.
Clique em Visualizar para conferir a saída do UDM. Uma mensagem de erro será exibida se o código estiver incorreto.
Na prévia, você pode usar o plug-in de filtro statedump para validar o estado interno de um analisador. Para mais informações, consulte Validar dados usando o plug-in statedump.
Clique em Validar para validar o analisador personalizado.
O processo de validação pode levar alguns minutos. Por isso, recomendamos que você primeiro visualize o analisador personalizado, faça mudanças se necessário e depois valide o analisador personalizado.
Clique em Enviar.
O analisador é ativado para o processo de normalização após 20 minutos.
Criar um analisador personalizado com base em um analisador atual
Use um analisador atual como modelo para criar um novo analisador personalizado. Esse método aceita apenas a abordagem baseada em código. Para começar, siga estas etapas:
No menu "Aplicativo", selecione Configurações > Analistas.
Clique em Criar analisador.
Selecione uma origem de registro adequada na lista Origem de registro.
Selecione Começar com um analisador pré-criado para usar um analisador atual como base para criar um novo analisador personalizado.
Clique em Criar.
Edite o código no terminal de código do analisador. Para mais informações, consulte Criar uma instrução de mapeamento de snippet de código.
Opcional: clique em Editar para editar o registro bruto.
Opcional: clique em Atualizar para atualizar o registro bruto.
À medida que você adiciona código para criar o analisador, clique em Prévia para conferir a saída do UDM. Uma mensagem de erro será exibida se o código estiver incorreto.
Na prévia, você pode usar o plug-in de filtro statedump para validar o estado interno de um analisador. Para mais informações, consulte Validar dados usando o plug-in statedump.
Clique em Validar para validar o analisador personalizado.
O processo de validação pode levar alguns minutos. Por isso, recomendamos que você primeiro visualize o analisador personalizado, faça as mudanças necessárias e depois valide o analisador.
Clique em Enviar.
O analisador é ativado para o processo de normalização após 20 minutos.
Desativar um analisador personalizado
No menu "Aplicativo", selecione Configurações > Analistas.
Clique em Menu ao lado do analisador que você quer desativar e selecione Desativar na lista.
A caixa de diálogo Desativar analisador aparece.
Clique em Desativar.
O analisador personalizado é desativado e a versão atual do analisador pré-criado é ativada após 20 minutos. O analisador sintático pré-criado agora é o padrão. O analisador personalizado é desativado e a versão atual do analisador pré-criado é ativada após 20 minutos. O analisador sintático pré-criado agora é o padrão.
Excluir um analisador personalizado
No menu "Aplicativo", selecione Configurações > Analistas.
Clique em Menu ao lado do analisador personalizado que você quer excluir e selecione Excluir na lista. Observação: não é possível excluir um analisador sintático pré-criado.
A caixa de diálogo Excluir analisador personalizado aparece.
Clique em Excluir.
O analisador personalizado é excluído e a versão atual do analisador pré-criado é ativada após 20 minutos.
Criar uma extensão
As extensões de analisador oferecem uma maneira flexível de ampliar os recursos dos analisadores predefinidos (padrão) e personalizados. Eles não substituem analisadores personalizados ou pré-criados. Em vez disso, eles permitem a extração perfeita de outros campos do registro bruto original para o registro da UDM. Uma extensão de analisador é diferente de um analisador personalizado.
Para criar uma extensão de analisador, consulte Como usar extensões de analisador.
Controlar o acesso ao gerenciamento de analisadores
Por padrão, os usuários com as funções de Administrador e Editor podem gerenciar atualizações do analisador. Novas permissões podem ser concedidas para controlar quem pode ver e gerenciar essas atualizações.
Para mais informações sobre como gerenciar usuários e grupos ou atribuir papéis, consulte o guia do usuário de controle de acesso baseado em papéis.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.