Visão geral da extração automática

Compatível com:

Este documento fornece uma visão geral de como os dados são extraídos automaticamente para melhorar a capacidade de ingestão, processamento e análise de dados.

As operações de segurança do Google usam analisadores pré-criados para extrair e estruturar dados de registro usando o esquema de modelo de dados unificado (UDM, na sigla em inglês). Gerenciar e manter esses analisadores pode ser desafiador devido a várias limitações: extração de dados incompleta, número crescente de analisadores a serem gerenciados e a necessidade de atualizações frequentes à medida que os formatos de registro evoluem.

Para resolver esses desafios, use o recurso de extração automática. Esse recurso extrai automaticamente pares de chave-valor de registros formatados em JSON ingeridos no Google SecOps. Esses dados extraídos são armazenados em um campo do tipo mapa do UDM chamado extracted. Em seguida, use esses dados em consultas de pesquisa do UDM, painéis de pré-visualização e regras do YARA-L. A análise autônoma oferece suporte a registros no formato JSON.

Como prática recomendada, as pesquisas do UDM que usam campos extraídos precisam incluir metadata.log_type na consulta para melhorar a performance da pesquisa.

O benefício da extração automática é a redução da dependência de analisadores, garantindo que os dados continuem disponíveis mesmo quando um analisador não está presente ou não consegue analisar um registro.

Analisar e extrair dados do registro bruto

  1. Análise: o Google SecOps tenta analisar registros usando um analisador específico para o tipo de registro, se disponível. Se não houver um analisador específico ou se a análise falhar, o Google SecOps vai usar um analisador geral para extrair informações básicas, como carimbo de data/hora ingerido, tipo de registro e rótulos de metadados.

  2. Extração de dados: todos os pontos de dados são extraídos automaticamente dos registros.

  3. Enriquecimento de eventos: o Google SecOps combina os dados analisados e todos os campos com formato personalizado para criar eventos enriquecidos, oferecendo mais contexto e detalhes.

  4. Transferência de dados downstream: esses eventos enriquecidos são enviados para outros sistemas para análise e processamento.