Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierte und benutzerdefinierte Parser verwalten

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie mit der Parser-Verwaltungsfunktion benutzerdefinierte Parser erstellen oder vorkonfigurierte Parser-Updates aktivieren oder deaktivieren können, die von Google Security Operations initiiert wurden.

Änderungen an vorgefertigten Parsern werden regelmäßig als Release-Kandidaten veröffentlicht. Während des Release-Kandidaten-Zeitfensters können Sie einen oder mehrere Parser mit den ausstehenden Änderungen aktualisieren. Alle vier Wochen werden ausstehende Updates automatisch aktiviert, wenn die ausstehenden Parseränderungen zum Standard werden. Wie lange die Bewertung einer Änderung dauert, hängt davon ab, wann die Änderung während des Release-Kandidatenzeitraums veröffentlicht wurde.

Mit der Parser-Verwaltungsfunktion können Sie das Update während des Release-Kandidatenfensters prüfen und testen. Sie können sich eine Liste der bisherigen Änderungen an einem vordefinierten Parser und auch anstehende Änderungen im Release-Zyklus ansehen. Sie können das Update dann aktivieren oder deaktivieren.

Mit Google Security Operations können Sie auch einen benutzerdefinierten Parser für einen Protokolltyp erstellen, für den kein vordefinierter Parser vorhanden ist. Sie können entweder einen komplett neuen Parser direkt aus dem Rohprotokoll erstellen oder einen vorhandenen Parser als Grundlage für einen neuen benutzerdefinierten Parser verwenden. Sie können Zuordnungsanweisungen erweitern, indem Sie eine Parsererweiterung für einen vordefinierten oder benutzerdefinierten Parser erstellen.

Es gibt folgende Arten von Parsern:

Parsertyp	Beschreibung
Vordefiniert	Parser, die von Google Security Operations erstellt werden und integrierte Anweisungen zur Datenzuordnung für die Umwandlung der ursprünglichen Protokolldaten in UDM-Felder enthalten.
Vordefiniert (erweitert)	Ein vordefinierter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen erstellt wurde, um zusätzliche Daten aus einem ursprünglichen Rohprotokoll zu extrahieren und in den UDM-Eintrag einzufügen.
Benutzerdefiniert	Von Kunden erstellte Parser mit benutzerdefinierten Datenzuordnungsanweisungen zur Umwandlung der ursprünglichen Protokolldaten in UDM-Felder.
Benutzerdefiniert (erweitert)	Ein benutzerdefinierter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen erstellt wurde, wobei eine Parsererweiterung verwendet wird, um zusätzliche Daten aus einem ursprünglichen Rohprotokoll zu extrahieren und in den UDM-Eintrag einzufügen.

Hinweise

In den folgenden Dokumenten werden die erforderlichen Konzepte erläutert, die für die Verwaltung von Parserupdates wichtig sind:

Benutzerdefinierten Parser anhand von Zuordnungsanweisungen erstellen

Sie können einen benutzerdefinierten Parser erstellen, indem Sie Code schreiben, der das ursprüngliche Rohprotokoll in einen UDM-Eintrag konvertiert. Informationen zur Struktur eines Parsers finden Sie unter Übersicht über das Log-Parsing und zur Syntax unter Referenz zur Parser-Syntax. Achten Sie beim Erstellen eines Parsers darauf, dass die Datenzuordnungsanweisungen so viele wichtige UDM-Felder wie möglich ausfüllen.

Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen aus.
Klicken Sie auf Parser erstellen.
Wählen Sie in der Liste Logquelle eine geeignete Logquelle aus.
Wählen Sie Nur mit Rohlogs beginnen aus, um einen neuen Parser gemäß Ihren Anforderungen zu erstellen.
Klicken Sie auf Erstellen.
Geben Sie den Code in das Parser Code Terminal ein. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuordnung.
Optional: Klicken Sie auf , um das vorhandene Rohprotokoll oder eine Kopie zu bearbeiten.
Optional: Klicken Sie auf , um das neueste Rohprotokoll zu laden.
Klicken Sie auf Vorschau, um die UDM-Ausgabe aufzurufen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.

In der Vorschau können Sie mit dem Filter-Plug-in „statedump“ den internen Status eines Parsers prüfen. Weitere Informationen finden Sie unter Daten mit dem Statedump-Plug-in validieren.
Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.

Die Validierung kann einige Minuten dauern. Wir empfehlen Ihnen daher, zuerst eine Vorschau des benutzerdefinierten Parsers anzusehen, bei Bedarf Änderungen vorzunehmen und ihn dann zu validieren.
Klicken Sie auf Senden.

Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Benutzerdefinierten Parser aus einem vorhandenen Parser erstellen

Sie können einen vorhandenen Parser als Vorlage verwenden, um einen neuen zu erstellen. Sie können einen benutzerdefinierten Parser nur mithilfe des Codeansatzes erstellen. So erstellen Sie einen benutzerdefinierten Parser aus einem vorhandenen Parser:

Wählen Sie im Dreipunkt-Menü die Einstellungen > Parser aus.
Klicken Sie auf Parser erstellen.
Wählen Sie in der Liste Logquelle eine geeignete Logquelle aus.
Wählen Sie Mit einem vorhandenen vorkonfigurierten Parser beginnen aus, um einen vorhandenen Parser als Grundlage für einen neuen benutzerdefinierten Parser zu verwenden.

Hinweis: Wenn für die ausgewählte Protokollquelle kein vordefinierter Parser vorhanden ist, wird diese Option nicht angezeigt.
Klicken Sie auf Erstellen.
Bearbeiten Sie den Code im Parser Code Terminal. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuordnung.
Optional: Klicken Sie auf , um das Rohprotokoll zu bearbeiten.
Optional: Klicken Sie auf , um das Rohprotokoll zu aktualisieren.
Wenn Sie Code zum Erstellen des Parsers hinzufügen, klicken Sie auf Vorschau, um die UDM-Ausgabe aufzurufen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.

In der Vorschau können Sie mit dem Filter-Plug-in „statedump“ den internen Status eines Parsers prüfen. Weitere Informationen finden Sie unter Daten mit dem Statedump-Plug-in validieren.
Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.

Die Validierung kann einige Minuten dauern. Wir empfehlen Ihnen daher, zuerst eine Vorschau des benutzerdefinierten Parsers anzusehen, bei Bedarf Änderungen vorzunehmen und ihn dann zu validieren.
Klicken Sie auf Senden.

Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Vorab erstellte Parser-Updates verwalten

Wenn Google Security Operations ein Update für einen Parser veröffentlicht, sind die Updates 15 Tage lang in einem ausstehenden Status. Wenn Sie ein Parser-Update aktivieren oder deaktivieren möchten, vergleichen Sie die ältere und die neuere Parserversion. Gehen Sie dazu so vor:

Melden Sie sich in Ihrer Google Security Operations-Instanz an.
Wählen Sie im Dreipunkt-Menü die Einstellungen > Parser aus.
Klicken Sie auf Filtern.
Wählen Sie in der Liste Vordefiniert, Aktiv und Vordefiniert (erweitert) aus.

Ihre aktiven vordefinierten Parser werden angezeigt. Vordefinierte Parser sind Standardparser, die von Google Security Operations veröffentlicht werden. Wenn die Spalte Aktualisierung den Status Ausstehend enthält, gibt es ein Update für den Parser, das Sie prüfen können.
Klicken Sie auf das Dreistrich-Menü und wählen Sie in der Liste Ausstehendes Update ansehen aus.

Die Seite Parser vergleichen wird angezeigt. Hier sehen Sie Folgendes:
- Der Codeunterschied zwischen der aktuellen und der nächsten Parserversion
- Die Änderungsprotokolle auf dem Tab Änderungsprotokolle
- Das generierte UDM-Ereignis für das Stichproben-Nutzungsprotokoll
- Datum und Uhrzeit der Erstellung des Parsers
- Datum und Uhrzeit der letzten Aktualisierung des Parsercodes
Sie können das Update entweder jetzt aktivieren, warten, bis es in 15 Tagen automatisch angewendet wird, oder es deaktivieren.

Parser-Updates frühzeitig aktivieren

Mit der Parser-Verwaltungsfunktion können Sie Parser-Updates frühzeitig aktivieren und testen. Sie können Parser-Updates nur dann vorzeitig aktivieren, wenn Sie einen vorkonfigurierten Parser verwenden. Wenn Sie die Funktion vorzeitig aktivieren, können Sie den Parser innerhalb von 15 Tagen nach der Veröffentlichung des Updates wieder auf die vorherige Version zurücksetzen. So aktivieren Sie das Update vorzeitig:

Klicken Sie auf der Seite Parser vergleichen auf Parser-Update aktivieren.

Das Dialogfeld Parseraktualisierung bestätigen wird angezeigt.
Klicken Sie auf Bestätigen.

Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Parserupdates deaktivieren

Wenn Sie die aktuellen und zukünftigen Parserupdates deaktivieren möchten, erstellen Sie einen benutzerdefinierten Parser. Sie können die aktuelle oder die aktualisierte Version des Parsers als benutzerdefinierten Parser verwenden. Alle zukünftigen Updates für einen benutzerdefinierten Parser sind für Sie sichtbar, werden aber nur angewendet, wenn Sie sie aktivieren. So deaktivieren Sie aktuelle oder zukünftige Updates:

Klicken Sie auf der Seite Parser vergleichen auf Aktualisierung überspringen.

Das Fenster Aktualisierung überspringen und benutzerdefinierten Parser erstellen wird angezeigt.
Klicken Sie auf Benutzerdefinierten Parser erstellen.
Wenn Sie die Standardparserversion als benutzerdefinierten Parser festlegen möchten, wählen Sie Vordefinierter Parser aus. Wenn Sie die aktualisierte Version als benutzerdefinierten Parser festlegen möchten, wählen Sie Ausstehendes Parser-Update aus.
Klicken Sie auf Erstellen.

Hinweis :Wenn Sie die Meldung Für diese Protokollquelle gibt es bereits einen benutzerdefinierten Parser erhalten, gibt es bereits einen benutzerdefinierten Parser für diese Protokollquelle und Sie können keinen weiteren erstellen.

Die ausgewählte Version wird nach 20 Minuten für die Normalisierung ausgewählt. Er wird in der Liste der Parser auf der Seite Parser als Benutzerdefiniert und Aktiv angezeigt. Die vorherige vorkonfigurierte Version wird als Vorkonfiguriert und Inaktiv angezeigt.

Aktualisierungen für benutzerdefinierte Parser verwalten

Wenn Sie die Aktualisierung vordefinierter Parser deaktivieren, wird ein benutzerdefinierter Parser erstellt. Ein benutzerdefinierter Parser wird in der Liste der Parser als neuer Eintrag angezeigt.

Benutzerdefinierten Parser deaktivieren

Wählen Sie im Dreipunkt-Menü die Einstellungen > Parser aus.
Klicken Sie neben dem Parser, den Sie inaktiv setzen möchten, auf das Dreipunkt-Menü und wählen Sie in der Liste die Option Inaktiv setzen aus.

Das Dialogfeld Parser inaktivieren wird angezeigt.
Klicken Sie auf Inaktivieren.

Der benutzerdefinierte Parser wird deaktiviert und die Standardparserversion wird nach 20 Minuten aktiviert. Der benutzerdefinierte Parser wird also zu einem vordefinierten Parser. Wenn Sie einen benutzerdefinierten Parser aus einem vordefinierten Parser mit Aktualisierungen erstellt haben, gehen die Aktualisierungen verloren, wenn Sie den benutzerdefinierten Parser zu einem vordefinierten Parser zurückversetzen. Sie müssen Parserupdates noch einmal aktivieren.

Benutzerdefinierten Parser löschen

Wählen Sie im Dreipunkt-Menü die Einstellungen > Parser aus.
Klicken Sie neben dem Parser, den Sie löschen möchten, auf das Dreipunkt-Menü Menü und wählen Sie in der Liste Löschen aus.

Das Dialogfeld Benutzerdefinierten Parser löschen wird angezeigt.
Klicken Sie auf Löschen.

Der benutzerdefinierte Parser wird nach 20 Minuten gelöscht und die Standardparserversion aktiviert. Der benutzerdefinierte Parser wird also zu einem vordefinierten Parser. Wenn Sie einen benutzerdefinierten Parser aus einem vordefinierten Parser mit Updates erstellt haben, gehen die Updates verloren, wenn Sie den benutzerdefinierten Parser zu einem vordefinierten Parser zurückversetzen. Sie müssen Parserupdates noch einmal aktivieren.

Erweiterung erstellen

Sie können einen benutzerdefinierten oder vordefinierten Parser erweitern, indem Sie benutzerdefinierte Zuordnungsanweisungen definieren, um zusätzliche Daten aus einem ursprünglichen Rohprotokoll zu extrahieren. Sie können die Daten in den UDM-Eintrag einfügen, der von einem benutzerdefinierten Parser generiert wird. Mit Parsererweiterungen können Sie keinen neuen Parser erstellen.

Informationen zum Erstellen von Parsererweiterungen finden Sie unter Parsererweiterungen verwenden.

Früheres Update eines vordefinierten Parsers rückgängig machen

Wenn Sie ein Parser-Update frühzeitig aktiviert haben, können Sie innerhalb von 15 Tagen zur vorherigen Version zurückkehren. So wechseln Sie zur vorherigen Parserversion zurück:

Wählen Sie im Dreipunkt-Menü die Einstellungen > Parser aus.
Klicken Sie neben dem Parser, zu dem Sie zurückkehren möchten, auf das Dreipunkt-Menü.
Klicken Sie auf Ansehen.

Die Seite Vordefinierten Parser ansehen wird angezeigt.
Klicken Sie auf Vorherige Version wiederherstellen.

Das Dialogfeld Zum vorherigen zurück wird angezeigt. Klicken Sie im Dialogfeld auf Parser vergleichen, um den Unterschied zwischen der aktuellen und der vorherigen Version zu sehen.
Klicken Sie auf Bestätigen, um den Parser auf die vorherige Version zurückzusetzen.

Nach 20 Minuten wird der Parser auf die vorherige Version zurückgesetzt.

Zugriff auf die Parserverwaltung steuern

Standardmäßig können Parserupdates von Nutzern mit den Rollen Administrator und Bearbeiter verwaltet werden. Es können neue Berechtigungen erteilt werden, um zu steuern, wer Parserupdates aufrufen und verwalten darf. Weitere Informationen zum Verwalten von Nutzern und Gruppen oder zum Zuweisen von Rollen finden Sie in der Anleitung zur rollenbasierten Zugriffssteuerung.