Gerenciar analisadores pré-criados e personalizados
Este documento descreve como usar o recurso de gerenciamento de analisadores para criar analisadores personalizados ou ativar ou desativar atualizações de analisadores pré-criados iniciadas pelas Operações de segurança do Google.
As mudanças nos analisadores pré-criados são lançadas em uma cadência regular como candidatos a lançamento. Durante a janela de candidato à versão, é possível atualizar um ou mais analisadores com as mudanças pendentes. A cada quatro semanas, as atualizações pendentes são ativadas automaticamente quando as mudanças pendentes do analisador são promovidas para o padrão. O tempo necessário para avaliar uma mudança depende de quando ela foi lançada durante a janela de candidato à versão.
O recurso de gerenciamento do analisador permite inspecionar e testar a atualização durante a janela de candidato à versão. É possível conferir uma lista de mudanças anteriores em um analisador predefinido e também as próximas mudanças na cadência de lançamento. Você pode ativar ou desativar a atualização.
O Google Security Operations também oferece a flexibilidade de criar um analisador personalizado para um tipo de registro que não tem um analisador pré-criado. É possível criar um analisador totalmente novo diretamente do registro bruto ou usar um analisador existente como base para um novo analisador personalizado. É possível estender as instruções de mapeamento criando uma extensão de analisador para um analisador predefinido ou personalizado.
Os vários tipos de analisadores são os seguintes:
| Tipo de analisador | Descrição |
|---|---|
| Pré-criado | Analisadores criados pelo Google Security Operations e que contêm instruções integradas de mapeamento de dados para transformar os dados de registro originais em campos do UDM. |
| Pré-montagem estendida | Um analisador pré-criado criado pelos clientes com instruções de mapeamento adicionais para extrair outros dados de um registro bruto original e inseri-los no registro do UDM. |
| Personalizado | Parsers criados pelos clientes com instruções de mapeamento de dados personalizadas para transformar os dados de registro originais em campos do UDM. |
| Personalizado estendido | Um analisador personalizado criado pelos clientes com instruções de mapeamento adicionais usando uma extensão de analisador para extrair outros dados de um registro bruto original e inseri-los no registro do UDM. |
Antes de começar
Os documentos a seguir explicam os conceitos de pré-requisito que são importantes para gerenciar atualizações do analisador:
Criar um analisador personalizado com base em instruções de mapeamento
É possível criar um analisador personalizado escrevendo um código que converte o registro bruto original em um registro do UDM. Para a estrutura de um analisador, consulte Visão geral da análise de registros e Referência de sintaxe do analisador para informações sobre a sintaxe. Ao criar um analisador, verifique se as instruções de mapeamento de dados preenchem o maior número possível de campos importantes do UDM.
Na barra de navegação, selecione Configurações > Configurações do SIEM.
Clique em Criar analisador.
Selecione uma origem de registro adequada na lista Origem de registro.
Selecione Iniciar com apenas registros brutos para criar um novo analisador de acordo com seus requisitos.
Clique em Criar.
Digite o código no terminal de código do analisador. Para mais informações, consulte Criar uma instrução de mapeamento de snippet de código.
Opcional: clique em para editar o registro bruto ou a cópia.
Opcional: clique em para carregar o registro bruto mais recente.
Clique em Visualizar para conferir a saída da UDM. Uma mensagem de erro será exibida se o código estiver incorreto.
Na visualização, é possível usar o plug-in de filtro statedump para validar o estado interno de um analisador. Para mais informações, consulte Validar dados usando o plug-in statedump.
Clique em Validar para validar o analisador personalizado.
O processo de validação pode levar alguns minutos. Por isso, recomendamos que você confira o analisador personalizado primeiro, faça alterações, se necessário, e valide o analisador personalizado.
Clique em Enviar.
O analisador é escolhido para normalização após 20 minutos.
Criar um analisador personalizado com base em um analisador existente
É possível usar um analisador existente como modelo para criar um novo. É possível criar um analisador personalizado usando apenas a abordagem de código. Para criar um analisador personalizado a partir de um analisador existente, siga estas etapas:
No menu do aplicativo , selecione Settings > Parsers.
Clique em Criar analisador.
Selecione uma origem de registro adequada na lista Origem de registro.
Selecione Iniciar com um analisador pré-criado para usar um analisador existente como base para criar um novo analisador personalizado.
Clique em Criar.
Edite o código no Parser Code Terminal. Para mais informações, consulte Criar uma instrução de mapeamento de snippet de código.
Opcional: clique em para editar o registro bruto.
Opcional: clique em para atualizar o registro bruto.
À medida que você adiciona código para criar o analisador, clique em Prévia para conferir a saída da UDM. Uma mensagem de erro será exibida se o código estiver incorreto.
Na visualização, é possível usar o plug-in de filtro statedump para validar o estado interno de um analisador. Para mais informações, consulte Validar dados usando o plug-in statedump.
Clique em Validar para validar o analisador personalizado.
O processo de validação pode levar alguns minutos. Por isso, recomendamos que você faça uma prévia do analisador personalizado, faça as alterações necessárias e, em seguida, valide o analisador.
Clique em Enviar.
O analisador é escolhido para normalização após 20 minutos.
Gerenciar atualizações de analisadores pré-criados
Quando o Google Security Operations lança uma atualização para um analisador, as atualizações ficam pendentes por 15 dias. Para ativar ou desativar uma atualização do analisador, examine a diferença entre as versões anteriores e mais recentes do analisador fazendo o seguinte:
Faça login na sua instância do Google Security Operations.
No menu do aplicativo , selecione Settings > Parsers.
Clique em Filtrar.
Selecione Prebuilt, Active e Prebuilt Extended na lista.
Os analisadores pré-criados ativos são mostrados. Os analisadores pré-criados são analisadores padrão lançados pelo Google Security Operations. Se a coluna Update contiver Pending como status, isso indica que o analisador tem uma atualização que pode ser inspecionada.
Clique em Menu e selecione Ver atualização pendente na lista.
A página Comparar analisadores é exibida. Aqui, você pode conferir:
A diferença de código entre a versão atual e a próxima versão do analisador
Os registros de mudanças na guia Registros de mudanças
O evento UDM gerado para o registro bruto amostrado
A data e a hora em que o analisador foi criado
A data e a hora em que o código do analisador foi atualizado pela última vez
Você pode ativar a atualização com antecedência, esperar que ela seja aplicada automaticamente em 15 dias ou desativar.
Ativar as atualizações do analisador com antecedência
O recurso de gerenciamento de analisador permite ativar e testar uma atualização de analisador com antecedência. Você só pode ativar as atualizações do analisador com antecedência se estiver usando um analisador pré-criado. Depois de ativar o recurso com antecedência, você poderá reverter o analisador para a versão anterior em até 15 dias após o lançamento da atualização. Para ativar a atualização com antecedência, siga estas etapas:
Na página Comparar analisadores, clique em Ativar a atualização do analisador.
A caixa de diálogo Confirmar atualização do analisador aparece.
Clique em Confirmar.
O analisador é escolhido para normalização após 20 minutos.
Desativar atualizações do analisador
Para desativar as atualizações atuais e futuras do analisador, crie um analisador personalizado. Você pode usar a versão atual ou atualizada do analisador como um analisador personalizado. Todas as atualizações futuras de um analisador personalizado vão ficar visíveis para você, mas não serão aplicadas a menos que você ative essa opção. Para desativar as atualizações atuais ou futuras, siga estas etapas:
Na página Comparar analisadores, clique em Pular atualização.
A janela Skip update and create custom parser aparece.
Clique em Criar analisador personalizado.
Para definir a versão do analisador padrão como o analisador personalizado, selecione Analisador pré-criado. Para definir a versão atualizada como o analisador personalizado, selecione Atualização pendente do analisador.
Clique em Criar.
A versão selecionada é escolhida para normalização após 20 minutos. Ele aparece como Personalizado e Ativo na lista de analisadores na página Analisadores. A versão predefinida anterior aparece como Prebuilt e Inactive.
Gerenciar atualizações de parâmetro personalizado
Quando você desativa as atualizações do analisador pré-criado, um analisador personalizado é criado. Um analisador personalizado é mostrado na lista de analisadores como uma nova entrada.
Desativar um analisador personalizado
No menu do aplicativo , selecione Settings > Parsers.
Clique em Menu ao lado do analisador que você quer desativar e selecione Desativar na lista.
A caixa de diálogo Make parser inactive aparece.
Clique em Tornar inativo.
O analisador personalizado é desativado, e a versão padrão é ativada após 20 minutos. Ou seja, o analisador personalizado se torna um pré-criado. Se você criou um analisador personalizado com base em um pré-criado com atualizações, elas serão perdidas quando você reverter o analisador personalizado para um pré-criado. Você precisa ativar novamente as atualizações do analisador.
Excluir um analisador personalizado
No menu do aplicativo , selecione Settings > Parsers.
Clique em Menu ao lado do analisador que você quer excluir e selecione Delete na lista.
A caixa de diálogo Delete custom parser aparece.
Clique em Excluir.
O analisador personalizado é excluído, e a versão padrão é ativada após 20 minutos. Ou seja, o analisador personalizado se torna um pré-criado. Se você criou um analisador personalizado com base em um pré-criado com atualizações, elas serão perdidas quando você reverter o analisador personalizado para um pré-criado. Você precisa ativar novamente as atualizações do analisador.
Criar uma extensão
É possível estender um analisador personalizado ou pré-criado definindo instruções de mapeamento personalizadas para extrair mais dados de um registro bruto original. É possível inserir os dados no registro do UDM gerado por um analisador personalizado. Não é possível criar um novo analisador usando extensões de analisador.
Para informações sobre como criar extensões de analisador, consulte Usar extensões de analisador.
Reverter uma atualização inicial de um analisador pré-criado
Se você tiver ativado uma atualização de analisador com antecedência, poderá reverter para a versão anterior dentro do período de 15 dias. Para voltar à versão anterior do analisador, siga estas etapas:
No menu do aplicativo , selecione Settings > Parsers.
Clique em Menu no analisador que você quer reverter.
Clique em Visualizar.
A página View prebuilt parser aparece.
Clique em Reverter para a versão anterior.
A caixa de diálogo Reverter para anterior é exibida. Clique em Compare Parsers na caixa de diálogo para conferir a diferença entre a versão atual e a anterior.
Clique em Confirmar para reverter o analisador para a versão anterior.
O analisador é revertido para a versão anterior após 20 minutos.
Controlar o acesso ao gerenciamento do analisador
Por padrão, as atualizações do analisador podem ser gerenciadas por usuários com funções de Administrador e Editor. É possível conceder novas permissões para controlar quem pode visualizar e gerenciar as atualizações do analisador. Para mais informações sobre como gerenciar usuários e grupos ou atribuir funções, consulte o guia do usuário do controle de acesso baseado em função.