管理预构建和自定义解析器
概览
本文档提供了有关如何在 Google Security Operations 中管理解析器的指南。其中详细介绍了如何处理预构建解析器和自定义解析器的更新、创建解析器扩展程序,以及控制对解析器管理功能的访问权限:
解析器类型
了解解析器类型及其功能:
| 解析器类型 | 说明 |
|---|---|
| 预构建 | 由 Google SecOps 创建的解析器,包含用于将原始日志数据转换为 UDM 字段的内置映射。 |
| 经过扩展的预构建版 | 客户创建的预建解析器,其中包含额外的映射说明,用于从原始原始日志中提取额外数据并将其插入 UDM 记录中。 |
| 自定义 | 由客户创建的解析器,其中包含用于将原始日志数据转换为 UDM 字段的自定义数据映射说明。 |
| 经过扩展的自定义版 | 客户创建的自定义解析器,其中包含额外的映射说明,可使用解析器扩展功能从原始日志中提取额外数据并将其插入 UDM 记录中。 |
解析器支持级别
Google SecOps 提供以下级别的解析器支持:
| 解析器类型 | 说明和支持 |
|---|---|
| 高级解析器 | Google SecOps 提供来自最常用的大容量数据源的高质量解析器。客户对高级解析器的请求通常会在几天内得到处理。 |
| 标准解析器 | 对于其他受支持的数据源,Google SecOps 会尽力提供支持,通常会在几周内解决问题。为了满足即时需求,您可以使用自助解析器扩展程序和自动提取功能。 |
| 客户构建的解析器和扩展程序 | Google SecOps 不会为这些集成提供支持。我们建议您自行管理此流程,也可以在 Google 合作伙伴的协助下进行管理。 |
如需查看 Premium 解析器和 Standard 解析器的完整列表,请参阅默认解析器配置。
如需简要了解如何将原始日志解析为统一数据模型 (UDM) 格式,请参阅日志解析概览。
管理预构建的解析器更新
Google SecOps 通常会在每个月的第四周更新其预构建的解析器。这些更新会先提供给客户进行抢先体验和测试。即将推出的解析器更新可用后,系统会在解析器列表中将其标记为待处理更新。您可以检查旧版解析器与新版解析器之间的差异,也可以提前激活解析器更新以进行测试,还可以跳过更新并创建自定义解析器。
如需查看待处理的更新,请执行以下操作:
登录您的 Google SecOps 实例。
依次选择 SIEM 设置 > 解析器。
点击 过滤。
从列表中选择预建、有效和预建扩展。
系统会显示活跃(默认)的预构建解析器列表。即将进行的解析器更新会在更新列中标记为待处理。
点击 菜单,然后从列表中选择查看待处理的更新。
系统会显示比较解析器页面。您可以在此处查看以下内容:
当前解析器版本与即将推出的解析器版本之间的代码差异。
更改日志标签页中的更改日志。
抽样的原始日志所生成的 UDM 事件。
解析器的创建日期和时间。
解析器代码上次更新的日期和时间。
您可以提前启用解析器更新、跳过更新并创建自定义解析器,也可以等待系统在当月第四周自动应用更新。
尽早使解析器更新生效
借助解析器管理功能,您可以提前激活解析器更新。例如,如果您想测试它。
如需提前激活解析器更新,请按以下步骤操作:
在比较解析器页面上,点击使解析器更新生效。
系统会显示确认解析器更新对话框。
点击确认。
解析器会在 20 分钟后激活,以进行归一化处理。
跳过预建解析器更新
如需跳过当前和未来的预构建解析器更新,请按如下方式创建自定义解析器:
在比较解析器页面上,点击跳过更新。
系统会显示跳过更新并创建自定义解析器窗口。
点击创建自定义解析器。
对于要使用的解析器类型,请选择当前的预构建解析器或待处理的解析器更新。
点击创建。
所选版本会在 20 分钟后激活,以用于归一化流程。在解析器页面上的解析器列表中,它会显示为自定义和有效。之前的预建版本显示为预建和不活跃。
还原预建解析器的早期更新
如果您提前激活了解析器更新,则在当月第四周(更新自动激活)之前,您仍可恢复到之前的版本。
如需切换回之前的解析器版本,请按以下步骤操作:
在 Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。
点击要恢复的解析器对应的 菜单。
点击查看。
系统会显示查看预构建的解析器页面。
点击还原至上一个版本。
系统会显示还原为上一个对话框。您可以点击对话框中的比较解析器,查看当前版本与之前版本之间的差异。
点击确认,将解析器恢复到之前的版本。
解析器会在 20 分钟后恢复到之前的版本。
自定义解析器
Google SecOps 可让您在没有预建解析器或需要更多控制权的情况下创建自定义解析器。自定义解析器会与预构建的解析器一起显示在解析器列表中。
常见用例包括:
提取没有预建解析器的日志类型的日志数据。
请采用以下方法之一:
创建自定义解析器,以便跳过预构建的解析器更新。
根据映射说明创建自定义解析器
您可以编写代码将原始原始日志转换为 UDM 记录,从而创建自定义解析器。
附加阅读材料:
创建解析器时,应尽可能填充更多重要 UDM 字段。
前往 SIEM 设置。
点击创建解析器。
从日志源列表中选择合适的日志源。
选择仅从原始日志入手,根据您的需求创建新的解析器。
点击创建。
在 Parser Code Terminal 中输入代码。如需了解详情,请参阅创建代码段映射指令。
可选:点击 修改可修改现有原始日志或副本。
可选:点击 Load 加载最新的原始日志。
点击预览以查看 UDM 输出。如果验证码不正确,系统会显示错误消息。
在预览版中,您可以使用 statedump 过滤插件来验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证以验证自定义解析器。
验证过程可能需要几分钟时间,因此建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。
点击提交。
解析器会在 20 分钟后激活,以进行归一化处理。
基于现有解析器创建自定义解析器
使用现有解析器作为模板来创建新的自定义解析器。此方法仅支持基于代码的方法。要开始操作,请执行以下步骤:
在 Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。
点击创建解析器。
从日志源列表中选择合适的日志源。
选择从现有的预构建解析器入手,以使用现有解析器作为基础来创建新的自定义解析器。
点击创建。
在 Parser Code Terminal 中修改代码。如需了解详情,请参阅创建代码段映射指令。
可选:点击 修改以修改原始日志。
可选:点击 刷新以刷新原始日志。
在添加代码以构建解析器时,点击预览可查看 UDM 输出。如果验证码不正确,系统会显示错误消息。
在预览中,您可以使用 statedump 过滤插件来验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证以验证自定义解析器。
验证过程可能需要几分钟时间,因此建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。
点击提交。
解析器会在 20 分钟后激活,以进行归一化处理。
将自定义解析器设为非活跃状态
在 Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。
点击要设为无效的解析器旁边的 菜单,然后从列表中选择设为无效。
系统会显示使解析器处于非活动状态对话框。
点击设为无效。
20 分钟后,系统会停用自定义解析器,并启用当前的预构建解析器版本。预构建的解析器现在成为默认解析器。 20 分钟后,系统会停用自定义解析器,并启用当前的预构建解析器版本。预构建的解析器现在成为默认解析器。
删除自定义解析器
在 Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。
点击要删除的自定义解析器旁边的 菜单,然后从列表中选择删除。 注意:您无法删除预建的解析器。
系统会显示删除自定义解析器对话框。
点击删除。
自定义解析器会在 20 分钟后被删除,并激活当前的预构建解析器版本。
创建扩展程序
解析器扩展功能提供了一种灵活的方式来扩展现有预建(默认)解析器和自定义解析器的功能。它们不会取代预建或自定义解析器。相反,它们可实现从原始日志到 UDM 记录的无缝提取。解析器扩展与自定义解析器不同。
如需创建解析器扩展程序,请参阅使用解析器扩展程序。
控制对解析器管理的访问权限
默认情况下,拥有管理员和编辑者角色的用户可以管理解析器更新。您可以授予新权限,以控制哪些人可以查看和管理这些更新。
如需详细了解如何管理用户和群组或分配角色,请参阅基于角色的访问权限控制用户指南。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。