事前構築済みパーサーとカスタム パーサーを管理する

このドキュメントでは、パーサー管理機能を使用してカスタム パーサーを作成する方法、または Google Security Operations によって開始されるビルド済みパーサーのアップデートのオプトインとオプトアウトを行う方法について説明します。

ビルド済みパーサーの変更は、リリース候補版として定期的ケイデンスでリリースされます。リリース候補版の期間中は、保留中の変更で 1 つ以上のパーサーを更新することを選択できます。保留中の更新は、保留中のパーサー変更がデフォルトに昇格すると、4 週間ごとに自動的に有効になります。変更の評価にかかる時間は、リリース候補版の期間中に変更がリリースされたタイミングによって異なります。

パーサー管理機能により、リリース候補版の期間中に更新の検査とテストを行うことができます。事前構築済みパーサーの過去の変更のリストと、リリース ケイデンスでの今後の変更も確認できます。その後、更新のオプトインまたはオプトアウトを行うことができます。

Google Security Operations では、事前構築済みパーサーがないログタイプに対してカスタム パーサーを柔軟に作成することもできます。未加工ログから完全に新しいパーサーを直接作成することも、既存のパーサーを新しいカスタム パーサーのベースとして使用することもできます。事前構築済みパーサーまたはカスタム パーサー用のパーサー拡張機能を作成することで、マッピング指示を拡張できます。

さまざまなタイプのパーサーは次のとおりです。

パーサーのタイプ	説明
事前構築済み	Google Security Operations によって作成され、元のログデータを UDM フィールドに変換するためのデータ マッピング指示が組み込まれたパーサー。
事前構築の延長	追加のマッピング指示を使用してお客様が作成した事前構築済みパーサー。元の未加工ログから追加データを抽出し、UDM レコードに挿入します。
カスタム	元のログデータを UDM フィールドに変換するためのカスタム データ マッピング指示を使用して、お客様が作成するパーサー。
カスタム拡張	パーサー拡張機能を使用して追加のマッピング指示を行い、元の未加工ログから追加データを抽出し UDM レコードに挿入する、お客様が作成するカスタム パーサー。

準備

次のドキュメントでは、パーサーのアップデートの管理に重要な前提条件のコンセプトについて説明します。

• 統合データモデルの概要
• ログ解析の概要

マッピング指示に基づいてカスタム パーサーを作成する

カスタム パーサーを作成するには、元の未加工ログを UDM レコードに変換するコードを記述します。パーサーの構造については、ログ解析の概要をご覧ください。また、構文についてはパーサー構文リファレンスをご覧ください。パーサーを作成するときは、データ マッピング指示によって可能な限り多くの重要な UDM フィールドに入力するようにしてください。

1. ナビゲーション バーで、[設定] > [SIEM の設定] を選択します。

2. [パーサーを作成する] をクリックします。

3. [ログソース] リストから適切なログソースを選択します。

4. [未加工ログのみで開始] を選択し、要件に応じて新しいパーサーを作成します。

5. [作成] をクリックします。

6. パーサーコード ターミナルでコードを入力します。詳細については、コード スニペット マッピング指示を作成するをご覧ください。

7. 省略可: [edit] をクリックして、既存の未加工ログを編集するか、コピーします。

8. 省略可: [refresh] をクリックして、最新の未加工ログを読み込みます。

9. [プレビュー] をクリックして UDM の出力を確認します。コードが正しくない場合は、エラー メッセージが表示されます。

   プレビュー版では、statedump フィルタ プラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。

10. [検証] をクリックして、カスタム パーサーを検証します。

    検証プロセスには数分かかることがあるため、まずカスタム パーサーをプレビューし、必要に応じて変更してから、カスタム パーサーを検証することをおすすめします。

11. [送信] をクリックします。

    パーサーは、20 分後に正規化のために選択されます。

既存のパーサーからカスタム パーサーを作成する

既存のパーサーをテンプレートとして使用して、新しいパーサーを作成できます。カスタム パーサーは、コードアプローチのみを使用して作成できます。既存のパーサーからカスタム パーサーを作成するには、次の手順に沿って操作します。

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. [パーサーを作成する] をクリックします。

3. [ログソース] リストから適切なログソースを選択します。

4. [既存のビルド済みパーサーで開始] を選択し、既存のパーサーをベースとして使用して新しいカスタム パーサーを作成します。

5. [作成] をクリックします。

6. パーサーコード ターミナルでコードを編集します。詳細については、コード スニペット マッピング指示を作成するをご覧ください。

7. 省略可: [edit] をクリックして未加工ログを編集します。

8. 省略可: [refresh] をクリックして未加工ログを更新します。

9. パーサーをビルドするコードを追加したら、[プレビュー] をクリックして UDM の出力を確認します。コードが正しくない場合は、エラー メッセージが表示されます。

   プレビュー版では、statedump フィルタ プラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。

10. [検証] をクリックして、カスタム パーサーを検証します。

    検証プロセスには数分かかることがあるため、まずカスタム パーサーをプレビューし、必要に応じて変更してから、カスタム パーサーを検証することをおすすめします。

11. [送信] をクリックします。

    パーサーは、20 分後に正規化のために選択されます。

事前構築済みパーサーの更新を管理する

Google Security Operations がパーサーのアップデートをリリースすると、アップデートは 15 日間保留状態になります。パーサーの更新をオプトインまたはオプトアウトするには、次の手順で以前のパーサー バージョンと新しいパーサー バージョンの違いを確認します。

1. Google Security Operations インスタンスにログインします。

2. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

3. filter_alt [フィルタ] をクリックします。

4. リストから [Prebuilt]、[Active]、[Prebuilt Extended] を選択します。

   アクティブな事前構築済みパーサーが表示されます。事前構築済みパーサーは、Google Security Operations によってリリースされたデフォルト パーサーです。[Update] 列のステータスが [Pending] の場合、パーサーに検査可能な更新があることを示します。

5. more_vert メニューをクリックし、リストから [保留中の更新を表示] を選択します。

   [パーサーを比較] ページが表示されます。ここで、次の内容を表示できます。

   • 現在のパーサー バージョンと今後のもののコード差異

   • [変更ログ] タブの変更ログ

   • サンプリングされた未加工ログに対して生成された UDM イベント

   • パーサーが作成された日時

   • パーサー コードが最後に更新された日時

   早期に更新をオプトインするか、15 日後に自動適用されるまで待つか、更新をオプトアウトするかを選択できます。

パーサーの更新を早期にオプトインする

パーサー管理機能を使用すると、パーサーの更新を早期にオプトインしてテストできます。パーサーの更新を早期にオプトインできるのは、事前に構築されたパーサーを使用している場合のみです。早期にオプトインすると、パーサーは更新リリースから 15 日以内であれば以前のバージョンに戻すことができます。更新の早期オプトインは、次の手順で行います。

1. [パーサーを比較] ページで、[パーサーの更新を有効にする] をクリックします。

   [パーサーの更新を確認] ダイアログが表示されます。

2. [確認] をクリックします。

   パーサーは、20 分後に正規化のために選択されます。

パーサーの更新をオプトアウトする

現在のパーサーと今後のパーサーの更新をオプトアウトするには、カスタム パーサーを作成します。現在のバージョンまたは更新されたバージョンのパーサーをカスタム パーサーとして使用できます。カスタム パーサーの今後の更新はすべて表示されますが、オプトインしない限り適用されません。現在または将来の更新をオプトアウトするには、次の手順を行います。

1. [パーサーを比較] ページで、[更新をスキップ] をクリックします。

   [更新をスキップしてカスタム パーサーを作成する] ウィンドウが表示されます。

2. [カスタム パーサーを作成] をクリックします。

3. デフォルトのパーサー バージョンをカスタム パーサーとして設定するには、[ビルド済みパーサー] を選択します。更新されたバージョンをカスタム パーサーとして設定するには、[Pending Parser Update] を選択します。

4. [作成] をクリックします。

   選択したバージョンは、20 分後に正規化のために選択されます。これは、[パーサー] ページのパーサー リストに、[カスタム] と [アクティブ] と表示されます。以前のビルド済みバージョンは [ビルド済み] と [無効] と表示されます。

カスタム パーサーの更新を管理する

事前構築済みパーサーの更新をオプトアウトすると、カスタム パーサーが作成されます。カスタム パーサーは、パーサー リストに新しいエントリとして表示されます。

カスタム パーサーを無効にする

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 無効にするパーサーの more_vert メニューをクリックし、リストから [無効にする] を選択します。

   [パーサーを無効にする] ダイアログが表示されます。

3. [無効にする] をクリックします。

カスタム パーサーは無効になり、20 分後にデフォルトのパーサー バージョンが有効になります。つまり、カスタム パーサーは事前構築済みパーサーになります。更新を含む事前構築済みパーサーからカスタム パーサーを作成した場合、カスタム パーサーを事前構築済みパーサーに戻すと、更新内容は失われます。パーサーの更新を再度オプトインする必要があります。

カスタム パーサーを削除する

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 削除するパーサーの more_vert メニューをクリックし、リストから [削除] を選択します。

   [カスタム パーサーを削除しますか] ダイアログが表示されます。

3. [削除] をクリックします。

20 分後にカスタム パーサーが削除され、デフォルトのパーサー バージョンが有効になります。つまり、カスタム パーサーは事前構築済みパーサーになります。更新を含む事前構築済みパーサーからカスタム パーサーを作成した場合、カスタム パーサーを事前構築済みパーサーに戻すと、更新内容は失われます。パーサーの更新を再度オプトインする必要があります。

拡張機能を作成する

カスタム マッピング指示を定義し、元の未加工ログから追加データを抽出することで、カスタム パーサーまたは事前構築済みパーサーを拡張できます。データは、カスタム パーサーによって生成された UDM レコードに挿入できます。パーサー拡張機能を使用して新しいパーサーを作成することはできません。

パーサー拡張機能の作成については、パーサー拡張機能の使用をご覧ください。

事前構築されたパーサーの早期更新を元に戻す

パーサーの更新を早期にオプトインした場合は、15 日以内であれば以前のバージョンに戻すことができます。以前のパーサー バージョンに戻すには、次の手順に沿って操作します。

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 元に戻すパーサーの more_vert メニューをクリックします。

3. [表示] をクリックします。

   [事前構築済みパーサーを表示] ページが表示されます。

4. [以前のバージョンに戻す] をクリックします。

   [元に戻す] ダイアログが表示されます。ダイアログで [パーサーを比較] をクリックすると、現在のバージョンと以前のものとの違いを確認できます。

5. [確認] をクリックして、パーサーを以前のバージョンに戻します。

   パーサーは 20 分後に以前のバージョンに戻されます。

パーサー管理へのアクセスを制御する

デフォルトでは、パーサーの更新は、管理者と編集者のロールを持つユーザーが管理できます。パーサーの更新を表示、管理できるユーザーを制御する新しい権限を付与できます。ユーザーとグループの管理、またはロールの割り当ての詳細については、ロールベース アクセス制御ユーザーガイドをご覧ください。