管理預先建構和自訂剖析器
總覽
本文提供指南,說明如何在 Google Security Operations 中管理剖析器。本文詳細說明如何處理預先建構和自訂剖析器的更新、建立剖析器擴充功能,以及控管剖析器管理功能的存取權:
剖析器類型
瞭解剖析器類型及其功能:
| 剖析器類型 | 說明 |
|---|---|
| 預建項目 | 由 Google SecOps 建立的剖析器,內建對應項目,可將原始記錄資料轉換為 UDM 欄位。 |
| 已擴充的預建項目 | 客戶建立的預建剖析器,其中包含額外的對應指示,可從原始記錄中擷取額外資料,並插入 UDM 記錄。 |
| 自訂 | 客戶建立的剖析器,內含自訂資料對應指令,可將原始記錄資料轉換為 UDM 欄位。 |
| 已擴充的自訂項目 | 客戶使用剖析器擴充功能建立的自訂剖析器,內含額外的對應指示,可從原始記錄中擷取額外資料,並插入 UDM 記錄。 |
剖析器支援等級
Google SecOps 提供下列層級的剖析器支援:
| 剖析器類型 | 說明和支援 |
|---|---|
| 進階剖析器 | Google SecOps 提供最廣泛使用的高容量資料來源,並從中擷取高品質的剖析器。客戶要求使用進階剖析器時,通常會在幾天內獲得處理。 |
| 標準剖析器 | 對於其他支援的資料來源,Google SecOps 會盡力提供支援,通常會在幾週內回覆。如要滿足當下需求,可以使用自助式剖析器擴充功能和自動擷取功能。 |
| 客戶建構的剖析器和擴充功能 | Google SecOps 不會為這些項目提供支援。建議您自行管理,或請 Google 合作夥伴協助管理。 |
如需 Premium 和 Standard 剖析器的完整清單,請參閱「預設剖析器設定」。
如要瞭解如何將原始記錄剖析為 Unified Data Model (UDM) 格式,請參閱「記錄剖析總覽」。
管理預建剖析器更新
Google SecOps 通常會在每個月的第四週更新預建剖析器。這些更新會先開放客戶搶先體驗及測試,即將推出的剖析器更新會標示為「待處理」。您可以查看新舊剖析器版本之間的差異,也可以提早啟用剖析器更新來進行測試,或略過更新並建立自訂剖析器。
如要查看待處理的更新,請按照下列步驟操作:
登入 Google SecOps 執行個體。
依序選取「SIEM 設定」>「剖析器」。
按一下「篩選器」圖示 。
從清單中選取「預先建構」、「有效」和「預先建構擴展」。
系統會顯示有效 (預設) 的預建剖析器清單。即將推出的剖析器更新會在「更新」欄中標示為「待處理」。
按一下「選單」圖示 ,然後從清單中選取「查看待處理的更新」。
系統隨即會顯示「比較剖析器」頁面。您可以在這裡查看下列資訊:
目前和即將推出的剖析器版本之間的程式碼差異。
「變更記錄」分頁中的變更記錄。
為取樣原始記錄產生的 UDM 事件。
剖析器的建立日期和時間。
剖析器程式碼上次更新的日期和時間。
您可以提早啟用剖析器更新、略過更新並建立自訂剖析器,或等待系統在當月第四週自動套用更新。
提早啟用剖析器更新
剖析器管理功能可讓您提早啟用剖析器更新。舉例來說,如果您想測試這項功能。
如要提早啟用剖析器更新,請按照下列步驟操作:
在「比較剖析器」頁面中,按一下「啟用剖析器更新」。
系統會顯示「確認剖析器更新」對話方塊。
按一下「確認」。
剖析器會在 20 分鐘後啟動,進行正規化程序。
略過預先建構的剖析器更新
如要略過目前和日後的預先建構剖析器更新,請按照下列步驟建立自訂剖析器:
在「比較剖析器」頁面中,按一下「略過更新」。
系統會顯示「略過更新並建立自訂剖析器」視窗。
按一下「建立自訂剖析器」。
在「Type of parser to start with」(要使用的剖析器類型) 中,選取目前的「Prebuilt Parser」(預先建構的剖析器) 或「Pending Parser Update」(待處理的剖析器更新)。
點選「建立」。
選取的版本會在 20 分鐘後啟用,以進行標準化程序。在「剖析器」頁面的剖析器清單中,會顯示為「自訂」和「有效」。先前的預建版本會顯示為「預建」和「停用」。
還原預建剖析器的早期更新
如果您提早啟用剖析器更新,在該月第四週自動啟用更新前,您仍可還原為先前的版本。
如要切換回舊版剖析器,請按照下列步驟操作:
在「應用程式」選單 中,依序選取「設定」 >「剖析器」。
按一下要還原的剖析器旁邊的「選單」。
點按「查看」。
「查看預先建構的剖析器」頁面隨即顯示。
按一下「還原至上一個版本」。
系統會顯示「還原為先前的版本」對話方塊。您可以按一下對話方塊中的「比較剖析器」,查看目前版本和先前版本的差異。
按一下「確認」,將剖析器還原至先前版本。
20 分鐘後,剖析器會還原為先前的版本。
自訂剖析器
如果沒有預先建構的剖析器,或是您想進一步控制,Google SecOps 可讓您建立自訂剖析器。自訂剖析器會與預先建構的剖析器一起顯示在剖析器清單中。
常見用途包括:
為沒有預建剖析器的記錄類型擷取記錄資料。
請使用下列其中一種方法:
建立自訂剖析器,即可略過預建剖析器更新。
根據對應指示建立自訂剖析器
您可以編寫程式碼,將原始原始記錄轉換為 UDM 記錄,藉此建立自訂剖析器。
延伸閱讀:
建立剖析器時,請盡可能填入重要的 UDM 欄位。
前往「SIEM 設定」。
按一下「建立剖析器」。
從「記錄來源」清單中選取適當的記錄來源。
選取「僅使用原始記錄開始操作」,即可根據需求建立新的剖析器。
點選「建立」。
在「Parser Code Terminal」中輸入代碼。詳情請參閱「建立程式碼片段對應指令」。
選用:按一下「編輯」,編輯現有的原始記錄或副本。
選用:按一下「載入」,載入最新的原始記錄。
按一下「預覽」即可查看 UDM 輸出內容。如果代碼不正確,系統會顯示錯誤訊息。
在預覽畫面中,您可以使用 statedump 篩選器外掛程式驗證剖析器的內部狀態。詳情請參閱「使用 statedump 外掛程式驗證資料」。
按一下「驗證」,驗證自訂剖析器。
驗證程序可能需要幾分鐘,因此建議您先預覽自訂剖析器,視需要進行變更,然後驗證自訂剖析器。
按一下「提交」。
剖析器會在 20 分鐘後啟動,進行正規化程序。
根據現有剖析器建立自訂剖析器
使用現有剖析器做為範本,建立新的自訂剖析器。這個方法僅支援以程式碼為基礎的做法。如要開始使用,請按照下列步驟操作:
在「應用程式」選單中,依序選取「設定」 >「剖析器」。
按一下「建立剖析器」。
從「記錄來源」清單中選取適當的記錄來源。
選取「使用現有的預先建構剖析器開始操作」,即可使用現有的剖析器做為基礎,建立新的自訂剖析器。
點選「建立」。
在「剖析器程式碼終端機」中編輯程式碼。詳情請參閱「建立程式碼片段對應指令」。
選用:按一下「編輯」圖示 編輯原始記錄。
選用:按一下「重新整理」,即可重新整理原始記錄。
新增程式碼來建構剖析器時,請按一下「預覽」,查看 UDM 輸出內容。如果代碼不正確,系統會顯示錯誤訊息。
在預覽畫面中,您可以使用 statedump 篩選器外掛程式,驗證剖析器的內部狀態。詳情請參閱「使用 statedump 外掛程式驗證資料」。
按一下「驗證」,驗證自訂剖析器。
驗證程序可能需要幾分鐘,因此建議您先預覽自訂剖析器,視需要進行變更,然後再驗證自訂剖析器。
按一下「提交」。
剖析器會在 20 分鐘後啟動,進行正規化程序。
停用自訂剖析器
在「應用程式」選單 中,依序選取「設定」 >「剖析器」。
按一下要停用的剖析器旁的「選單」圖示 ,然後從清單中選取「停用」。
系統會顯示「Make parser inactive」對話方塊。
按一下「設為無效」。
自訂剖析器會在 20 分鐘後停用,並啟用目前的預建剖析器版本。預建剖析器現在會成為預設剖析器。 自訂剖析器會在 20 分鐘後停用,並啟用目前的預建剖析器版本。預先建構的剖析器現在會成為預設剖析器。
刪除自訂剖析器
在「應用程式」選單 中,依序選取「設定」 >「剖析器」。
找出要刪除的自訂剖析器,然後點選「選單」,並從清單中選取「刪除」。注意:您無法刪除預先建構的剖析器。
系統會顯示「Delete custom parser」對話方塊。
點選「刪除」。
自訂剖析器會在 20 分鐘後刪除,並啟用目前的預建剖析器版本。
建立擴充功能
剖析器擴充功能提供彈性方式,可擴充現有預先建構 (預設) 剖析器和自訂剖析器的功能。不會取代預先建構或自訂剖析器。而是從原始記錄中,將其他欄位無縫擷取至 UDM 記錄。剖析器擴充功能與自訂剖析器不同。
如要建立剖析器擴充功能,請參閱「使用剖析器擴充功能」。
控管剖析器管理存取權
根據預設,具備「管理員」和「編輯者」角色的使用者可以管理剖析器更新。您可以授予新權限,控管誰能查看及管理這些更新。
如要進一步瞭解如何管理使用者和群組,或指派角色,請參閱角色型存取控制使用者指南。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。