Administra analizadores precompilados y personalizados
En este documento, se describe cómo hacer lo siguiente: En este documento, se describe cómo hacer lo siguiente:
- Crea y administra analizadores personalizados.
- Obtén acceso anticipado a las próximas actualizaciones de los analizadores precompilados que inicia Google Security Operations.
- Para extender las instrucciones de asignación, crea una extensión de analizador para un analizador precompilado o personalizado.
- Controla el acceso a la administración del analizador.
- Crea y administra analizadores personalizados.
- Obtén acceso anticipado a las próximas actualizaciones de los analizadores precompilados que inicia Google Security Operations.
- Para extender las instrucciones de asignación, crea una extensión de analizador para un analizador precompilado o personalizado.
- Controla el acceso a la administración del analizador.
Tipos de analizadores: Tipos de analizadores:
datos de registro originales a los campos de [UDM](/chronicle/docs/event-processing/udm-overview).| Tipo de analizador | Descripción |
|---|---|
| Compilado previamente | Los analizadores que crea Google Security Operations y que contienen instrucciones de asignación de datos integradas para transformar los datos de registro originales en campos de [UDM](/chronicle/docs/event-processing/udm-overview). |
| Se extendió la compilación previa | Un analizador precompilado que crean los clientes con instrucciones de asignación adicionales para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro de la UDM. |
| Personalizado | Los analizadores que crean los clientes con instrucciones de asignación de datos personalizadas para transformar los datos de registro originales en campos de la AUA |
| Extensión personalizada | Un analizador personalizado creado por los clientes con instrucciones de asignación adicionales mediante una extensión de analizador para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro de la UDM. |
Administra las actualizaciones del analizador precompilado
Administra las actualizaciones del analizador precompilado
Por lo general, Google Security Operations actualiza sus analizadores precompilados durante la cuarta semana de cada mes. Estas actualizaciones se ponen a disposición de los clientes para pruebas y acceso anticipado. A medida que las próximas actualizaciones del analizador estén disponibles, se marcarán como actualización pendiente en la lista de analizadores. Puedes examinar la diferencia entre las versiones anteriores y las más recientes del analizador, o bien hacer que la actualización del analizador esté activa antes para probarla, o bien omitir la actualización y crear un analizador personalizado. Por lo general, Google Security Operations actualiza sus analizadores precompilados durante la cuarta semana de cada mes. Estas actualizaciones se ponen a disposición de los clientes para pruebas y acceso anticipado. A medida que las próximas actualizaciones del analizador estén disponibles, se marcarán como actualización pendiente en la lista de analizadores. Puedes examinar la diferencia entre las versiones anteriores y las más recientes del analizador, o bien hacer que la actualización del analizador esté activa antes para probarla, o bien omitir la actualización y crear un analizador personalizado.
Para ver las actualizaciones pendientes, haz lo siguiente:
Accede a tu instancia de Google Security Operations.
En el menú de la aplicación , selecciona Configuración > Análisis.
Haz clic en Filtrar.
Selecciona Precompilado, Activo y Precompilado extendido en la lista.
Aparecerá una lista de los analizadores precompilados activos (predeterminados). Las próximas actualizaciones del analizador se marcan como Pendientes en la columna Actualización.
Haz clic en Menú y selecciona Ver actualización pendiente en la lista.
Aparecerá la página Compare parsers. Aquí puedes ver lo siguiente:
Es la diferencia de código entre la versión actual y la próxima versión del analizador.
Los registros de cambios en la pestaña Registros de cambios
El evento de la AUA generado para el registro sin procesar muestreado
Es la fecha y hora en que se creó el analizador.
Es la fecha y hora de la última actualización del código del analizador.
Puedes hacer que la actualización del analizador sea activa antes, omitir la actualización y crear un analizador personalizado, o esperar a que la actualización se aplique automáticamente durante la cuarta semana del mes.
Cómo hacer que el analizador actualice antes
La función de administración del analizador te permite activar la actualización del analizador con anticipación. Por ejemplo, si quieres probarlo.
Para que el analizador se actualice antes, sigue estos pasos:
En la página Comparar analizadores, haz clic en Hacer que la actualización del analizador esté activa.
Aparecerá el diálogo Confirmar actualización del analizador.
Haz clic en Confirmar.
El analizador se activa para el proceso de normalización después de 20 minutos.
Omitir las actualizaciones del analizador precompilado
Para omitir las actualizaciones actuales y futuras del analizador precompilado, crea un analizador personalizado de la siguiente manera:
En la página Compare parsers, haz clic en Skip update.
Aparecerá la ventana Omitir actualización y crear analizador personalizado.
Haz clic en Crear analizador personalizado.
En Tipo de analizador para comenzar, selecciona el Analizador precompilado actual o la Actualización pendiente del analizador.
Haz clic en Crear.
La versión seleccionada se activa para el proceso de normalización después de 20 minutos. Aparece como Personalizado y Activo en la lista de analizadores de la página Analizadores. La versión precompilada anterior aparece como Precompilada y Inactiva.
Cómo revertir una actualización anterior del analizador precompilado
Si activaste la actualización del analizador antes, puedes volver a la versión anterior hasta la cuarta semana del mes, cuando se activa automáticamente la actualización.
Para volver a la versión anterior del analizador, sigue estos pasos:
En el menú de la aplicación , selecciona Configuración > Análisis.
Haz clic en Menú junto al analizador que deseas revertir.
Haz clic en Ver.
Aparecerá la página Ver analizador precompilado.
Haz clic en Revert to previous version (Volver a la versión anterior).
Aparecerá el diálogo Revert to previous. Puedes hacer clic en Comparar analizadores en el diálogo para ver la diferencia entre la versión actual y la anterior.
Haz clic en Confirmar para revertir el analizador a su versión anterior.
El analizador vuelve a su versión anterior después de 20 minutos.
Sin embargo, los analizadores personalizados
Google Security Operations proporciona la flexibilidad para crear un analizador personalizado por varios motivos, como los siguientes:
- Crea un analizador personalizado para un tipo de registro que no tenga un analizador compilado previamente. Crea un analizador completamente nuevo directamente desde el registro sin procesar o usa un analizador existente como base para el nuevo analizador personalizado.
- Puedes crear un analizador personalizado para omitir las actualizaciones del analizador prediseñado.
Los analizadores personalizados se muestran en la lista de analizadores.
Crea un analizador personalizado basado en instrucciones de asignación
Para crear un analizador personalizado, escribe código que convierta el registro sin procesar original en un registro de la UDM. Para obtener información sobre la estructura de un analizador, consulta Descripción general del análisis de registros y Referencia de sintaxis del analizador. Cuando crees un analizador, asegúrate de que las instrucciones de asignación de datos propaguen la mayor cantidad posible de campos de la UDM importantes.
- Ve a Configuración de SIEM.
Ve a Configuración de SIEM.
Haz clic en Create Parser.
Selecciona una fuente de registro adecuada de la lista Fuente de registro.
Selecciona Iniciar solo con registros sin procesar para crear un nuevo analizador según tus requisitos.
Haz clic en Crear.
Ingresa el código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmento de código.
Ingresa el código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmento de código.
Opcional: Haz clic en para editar el registro sin procesar o la copia existente.
Opcional: Haz clic en para cargar el registro sin procesar más reciente.
Haz clic en Vista previa para ver el resultado de la UDM. Si el código es incorrecto, se mostrará un mensaje de error.
En la vista previa, puedes usar el complemento de filtro de statedump para validar el estado interno de un analizador. Para obtener más información, consulta Cómo validar datos con el complemento statedump.
Haz clic en Validar para validar el analizador personalizado.
El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices cambios si es necesario y, luego, lo valides.
Haz clic en Enviar.
El analizador se activa para el proceso de normalización después de 20 minutos. El analizador se activa para el proceso de normalización después de 20 minutos.
Crea un analizador personalizado a partir de uno existente
Crea un analizador personalizado a partir de uno existente
Puedes usar un analizador existente como plantilla para crear uno nuevo. Solo puedes crear un analizador personalizado con el enfoque de código. Para crear un analizador personalizado a partir de uno existente, sigue estos pasos:
En el menú de la aplicación , selecciona Configuración > Análisis.
Haz clic en Create Parser.
Selecciona una fuente de registro adecuada de la lista Fuente de registro.
Selecciona Comenzar con un analizador precompilado existente para usar un analizador existente como base para crear un nuevo analizador personalizado.
Haz clic en Crear.
Edita el código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmento de código.
Opcional: Haz clic en para editar el registro sin procesar.
Opcional: Haz clic en para actualizar el registro sin procesar.
A medida que agregues código para compilar el analizador, haz clic en Vista previa para ver el resultado de la UDM. Si el código es incorrecto, se mostrará un mensaje de error.
En la vista previa, puedes usar el complemento de filtro de statedump para validar el estado interno de un analizador. Para obtener más información, consulta Cómo validar datos con el complemento statedump.
Haz clic en Validar para validar el analizador personalizado.
El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices cambios si es necesario y, luego, lo valides.
Haz clic en Enviar.
El analizador se activa para el proceso de normalización después de 20 minutos. El analizador se activa para el proceso de normalización después de 20 minutos.
Cómo inhabilitar un analizador personalizado
En el menú de la aplicación , selecciona Configuración > Análisis.
Haz clic en Menú junto al analizador que deseas inhabilitar y selecciona Inhabilitar en la lista.
Aparecerá el diálogo Make parser inactive.
Haz clic en Hacer inactivo.
Se desactiva el analizador personalizado y se activa la versión actual del analizador precompilado después de 20 minutos. El analizador precompilado ahora se convierte en el analizador predeterminado. Se desactiva el analizador personalizado y se activa la versión actual del analizador precompilado después de 20 minutos. El analizador precompilado ahora se convierte en el analizador predeterminado.
Cómo borrar un analizador personalizado
En el menú de la aplicación , selecciona Configuración > Análisis.
Haz clic en Menú junto al analizador personalizado que deseas borrar y selecciona Borrar en la lista. Nota: No puedes borrar un analizador compilado previamente.
Haz clic en Menú junto al analizador personalizado que deseas borrar y selecciona Borrar en la lista. Nota: No puedes borrar un analizador compilado previamente.
Aparecerá el diálogo Borrar analizador personalizado.
Haz clic en Borrar.
Se borra el analizador personalizado y se activa la versión actual del analizador precompilado después de 20 minutos. Se borra el analizador personalizado y se activa la versión actual del analizador precompilado después de 20 minutos.
Crea una extensión
Las extensiones de analizador proporcionan una forma flexible de extender las capacidades de los analizadores existentes precompilados (predeterminados) y personalizados. No reemplazan a los analizadores precompilados ni personalizados, sino que permiten la extracción sin problemas de campos adicionales del registro sin procesar original al registro de la UDM. Una extensión de analizador es diferente de un analizador personalizado. Para crear una extensión de analizador, consulta Cómo usar extensiones de analizador. Las extensiones de analizador proporcionan una forma flexible de extender las capacidades de los analizadores existentes precompilados (predeterminados) y personalizados. No reemplazan a los analizadores precompilados ni personalizados, sino que permiten la extracción sin problemas de campos adicionales del registro sin procesar original al registro de la UDM. Una extensión de analizador es diferente de un analizador personalizado. Para crear una extensión de analizador, consulta Cómo usar extensiones de analizador.
Controla el acceso a la administración del analizador
De forma predeterminada, los usuarios con los roles de Administrador y Editor pueden administrar las actualizaciones del analizador. Se pueden otorgar permisos nuevos para controlar quién puede ver y administrar estas actualizaciones. Para obtener más información sobre cómo administrar usuarios y grupos, o asignar roles, consulta la guía del usuario del control de acceso basado en roles.