Descripción general de la extracción automática

Compatible con:

En este documento, se proporciona una descripción general de cómo se extraen los datos automáticamente para mejorar la capacidad de transferir, procesar y analizar datos.

Google Security Operations usa analizadores precompilados para extraer y estructurar datos de registro con el esquema del modelo de datos unificado (UDM). La administración y el mantenimiento de estos analizadores pueden ser un desafío debido a varias limitaciones: extracción de datos incompleta, la creciente cantidad de analizadores que se deben administrar y la necesidad de actualizaciones frecuentes a medida que evolucionan los formatos de registro.

Para abordar estos desafíos, puedes usar la función de extracción automática. Esta función extrae automáticamente pares clave-valor de los registros con formato JSON que se transfieren a Google SecOps. Estos datos extraídos se almacenan en un campo de tipo mapa de la UDM llamado extracted. Luego, puedes usar estos datos en las consultas de búsqueda de la UDM, los paneles de vista previa y las reglas de YARA-L. El análisis autónomo admite registros en formato JSON.

Como práctica recomendada, las búsquedas de la AUA que usan campos extraídos deben incluir metadata.log_type en su consulta para mejorar el rendimiento de las búsquedas.

El beneficio de la extracción automática es que reduce la dependencia de los analizadores, lo que garantiza que los datos permanezcan disponibles incluso cuando no hay un analizador o no se analiza un registro.

Analiza y extrae datos del registro sin procesar

  1. Análisis: Google SecOps intenta analizar los registros con un analizador específico del tipo de registro, si está disponible. Si no existe un analizador específico o si falla el análisis, Google SecOps usa un analizador general para extraer información básica, como la marca de tiempo transferida, el tipo de registro y las etiquetas de metadatos.

  2. Extracción de datos: Todos los datos se extraen automáticamente de los registros.

  3. Enriquecimiento de eventos: Google SecOps combina los datos analizados y cualquier campo con formato personalizado para crear eventos enriquecidos, lo que proporciona más contexto y detalles.

  4. Transferencia de datos downstream: Estos eventos enriquecidos se envían a otros sistemas para su análisis y procesamiento posteriores.