自動擷取功能總覽

支援以下發布途徑:

本文件將概略說明如何自動擷取資料,提升擷取、處理及分析資料的能力。

Google 安全作業團隊會使用預先建構的剖析器,以統一資料模型 (UDM) 結構定義來擷取及建構記錄資料。由於有幾項限制,管理和維護這些剖析器可能會相當困難:資料擷取不完整、需要管理的剖析器數量不斷增加,以及隨著記錄格式演進而需要頻繁更新。

如要解決這些問題,您可以使用自動擷取功能。這項功能會自動從擷取至 Google SecOps 的 JSON 格式記錄中擷取鍵/值組合。它也支援 Syslog 格式的記錄,其中包含 JSON 訊息。這項擷取的資料會儲存在名為 extracted 的 UDM 地圖類型欄位中。接著,您就可以在 UDM 搜尋查詢、原生資訊主頁和 YARA-L 規則中使用這些資料。

建議您採取下列最佳做法:使用擷取的欄位執行 UDM 搜尋時,必須在查詢加入 metadata.log_type,以便提高搜尋查詢成效。

自動擷取的優點是減少對剖析器的依賴,確保即使沒有剖析器或剖析器無法剖析記錄,資料仍可供使用。

剖析原始記錄並擷取資料

  1. 剖析:Google SecOps 會嘗試使用特定記錄類型的剖析器剖析記錄 (如果有)。如果沒有特定剖析器,或剖析失敗,Google SecOps 會使用一般剖析器來擷取基本資訊,例如擷取的時間戳記、記錄類型和中繼資料標籤。

  2. 資料擷取:系統會自動從記錄中擷取所有資料點。

  3. 事件強化:Google SecOps 會結合剖析的資料和任何自訂格式欄位,建立強化事件,提供更多背景資訊和詳細資料。

  4. 下游資料移轉:這些經過擴充的事件會傳送至其他系統,以便進一步分析和處理。

使用擷取器

擷取器可讓您從大量記錄來源擷取欄位,並且旨在最佳化記錄管理。使用擷取器可減少事件大小、提升剖析效率,並進一步控管資料擷取作業。這項功能特別適合用於管理新記錄類型或縮短處理時間。

您可以使用「SIEM 設定」選單建立擷取器,也可以執行原始記錄搜尋。

建立擷取器

  1. 使用下列任一方法前往「擷取其他欄位」窗格:

    • 依序點選「SIEM 設定」 >「剖析器」,然後執行下列操作:
      1. 在隨即顯示的「PARSERS」表格中,找出解析器 (記錄來源),然後依序按一下 「選單」 >「擴充解析器」 >「擷取其他欄位」
    • 使用原始記錄掃描功能,並執行下列操作:
      1. 從「Log Sources」選單中選取必要的記錄來源 (剖析器)。
      2. 從原始記錄結果中選取記錄來源,開啟「事件資料」窗格。
      3. 在「事件資料」窗格中,依序點選「管理剖析器」 >「擴充剖析器」 >「擷取其他欄位」
    • 使用 UDM 搜尋功能,然後執行下列操作:
      1. 在 UDM 搜尋結果的「事件」分頁中,選取記錄來源即可查看「事件檢視器」窗格。
      2. 在「Raw Log」分頁中,依序按一下「Manage Parser」 >「Extend Parser」 >「Extract Additional Fields」

  2. 在「擷取其他欄位」窗格中的「選取擷取器」分頁中,選取所需的原始記錄檔欄位。根據預設,您最多可以選取 100 個欄位。如果沒有其他可供擷取的欄位,系統會顯示警告通知。

    按一下「Reference Raw Log」分頁標籤,即可查看原始記錄資料並預覽 UDM 輸出內容。

  3. 按一下 [儲存]

新建立的擷取器標示為 EXTRACTOR。在 UDM 輸出內容中,擷取的欄位會以 extracted.field{"fieldName"} 的形式顯示。

查看擷取器詳細資料

  1. 前往「PARSERS」表格中的萃取器列,然後依序點選 「選單」 >「擴充 Parser」 >「查看擴充功能」
  2. 在「查看自訂剖析器」頁面中,按一下「額外資訊和擷取的欄位」分頁標籤。

這個分頁會顯示剖析器擴充功能和擷取器欄位的相關資訊。您可以修改或移除欄位,並在「VIEW CUSTOM PARSERS」頁面中預覽剖析器輸出內容。

還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。