Présentation de l'extraction automatique

Compatible avec:

Ce document présente comment les données sont extraites automatiquement pour améliorer la capacité d'ingestion, de traitement et d'analyse des données.

Google Security Operations utilise des analyseurs prédéfinis pour extraire et structurer les données de journaux à l'aide du schéma Unified Data Model (UDM). La gestion et la maintenance de ces analyseurs peuvent s'avérer difficiles en raison de plusieurs limites: extraction de données incomplète, nombre croissant d'analyseurs à gérer et nécessité de mises à jour fréquentes à mesure que les formats de journaux évoluent.

Pour relever ces défis, vous pouvez utiliser la fonctionnalité d'extraction automatique. Cette fonctionnalité extrait automatiquement des paires clé-valeur à partir des journaux au format JSON ingérés dans Google SecOps. Ces données extraites sont stockées dans un champ de type carte UDM appelé extracted. Vous pouvez ensuite utiliser ces données dans les requêtes de recherche UDM, les tableaux de bord d'aperçu et les règles YARA-L. L'analyse autonome est compatible avec les journaux au format JSON.

Il est recommandé que les recherches UDM utilisant des champs extraits incluent metadata.log_type dans leur requête pour améliorer les performances des requêtes de recherche.

L'extraction automatique permet de réduire la dépendance aux analyseurs, ce qui garantit que les données restent disponibles même lorsqu'un analyseur n'est pas présent ou ne parvient pas à analyser un journal.

Analyser et extraire les données du journal brut

  1. Analyse: Google SecOps tente d'analyser les journaux à l'aide d'un analyseur spécifique au type de journal, le cas échéant. Si aucun analyseur spécifique n'existe ou si l'analyse échoue, Google SecOps utilise un analyseur général pour extraire des informations de base telles que le code temporel ingéré, le type de journal et les libellés de métadonnées.

  2. Extraction de données: tous les points de données sont automatiquement extraits des journaux.

  3. Enrichissement des événements: Google SecOps combine les données analysées et tous les champs au format personnalisé pour créer des événements enrichis, qui fournissent plus de contexte et de détails.

  4. Transfert de données en aval: ces événements enrichis sont ensuite envoyés à d'autres systèmes pour une analyse et un traitement plus approfondis.