Gérer les analyseurs prédéfinis et personnalisés

Compatible avec :

Ce document explique comment utiliser la fonctionnalité de gestion des analyseurs pour créer des analyseurs personnalisés, ou activer ou désactiver les mises à jour d'analyseurs prédéfinies lancées par Google Security Operations.

Les modifications apportées aux analyseurs prédéfinis sont publiées régulièrement en tant que versions candidates. Pendant la période de version candidate, vous pouvez choisir de mettre à jour un ou plusieurs analyseurs avec les modifications en attente. Toutes les quatre semaines, les mises à jour en attente deviennent automatiquement actives lorsque les modifications de l'analyseur en attente sont définies par défaut. Le temps nécessaire pour pour évaluer une modification dépend de sa date de publication la période d'essai de la version candidate.

La fonctionnalité de gestion de l'analyseur vous permet d'inspecter et de tester la mise à jour pendant la période de version candidate. Vous pouvez consulter la liste des modifications apportées à un analyseur prédéfini et les modifications à venir dans la fréquence de publication. Vous pouvez ensuite activer ou désactiver de la mise à jour.

Google Security Operations vous permet également de créer un analyseur personnalisé pour un type de journal qui ne dispose pas d'un analyseur prédéfini. Vous pouvez créer un analyseur entièrement nouveau directement à partir du journal brut ou utiliser un analyseur existant comme base pour un nouvel analyseur personnalisé. Vous pouvez étendre les instructions de mappage en créant un analyseur pour un analyseur prédéfini ou personnalisé.

Les différents types d'analyseurs sont les suivants:

Type d'analyseur Description
Prédéfini Analyseurs créés par Google Security Operations et contenant des instructions de mappage de données intégrées pour transformer les données de journal d'origine en champs UDM.
Moteur de jeu prédéfini étendu Un analyseur prédéfini créé par les clients, avec des instructions de mappage supplémentaires pour extraire les données d'un journal brut d'origine et les insérer dans l'enregistrement UDM.
Personnalisé Analyseurs créés par les clients avec des instructions de mappage de données personnalisées pour transformer les données de journal d'origine en champs UDM.
Extension personnalisée Un analyseur personnalisé créé par les clients avec des instructions de mappage supplémentaires à l'aide d'une extension d'analyseur pour extraire des données supplémentaires d'un journal brut d'origine et les insérer dans l'enregistrement UDM.

Avant de commencer

Les documents suivants expliquent les concepts prérequis importants pour gérer les mises à jour de l'analyseur:

Créer un analyseur personnalisé en fonction des instructions de mappage

Vous pouvez créer un analyseur personnalisé en écrivant du code qui convertit les données brutes d'origine à un enregistrement UDM. Pour connaître la structure d'un analyseur, consultez la page Présentation de l'analyse des journaux. et la documentation de référence sur la syntaxe de l'analyseur des informations sur la syntaxe. Lorsque vous créez un analyseur, assurez-vous que les instructions de mappage des données renseignent autant que possible les champs UDM importants.

  1. Dans la barre de navigation, sélectionnez Settings (Paramètres) > SIEM Settings (Paramètres du SIEM).

  2. Cliquez sur Créer un analyseur.

  3. Sélectionnez une source de journal appropriée dans la liste Source de journal.

  4. Sélectionnez Commencer avec les journaux bruts uniquement pour créer un analyseur en fonction de vos besoins.

  5. Cliquez sur Créer.

  6. Saisissez le code dans le terminal de code de l'analyseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extraits de code.

  7. Facultatif : Cliquez sur  pour modifier le journal brut existant ou la copie.

  8. Facultatif: Cliquez sur pour charger le dernier journal brut.

  9. Cliquez sur Aperçu pour afficher la sortie de l'UDM. Un message d'erreur s'affiche si le code est incorrect.

    Dans l'aperçu, vous pouvez utiliser le plug-in de filtre statedump pour valider l'état interne d'un analyseur. Pour en savoir plus, consultez Valider les données à l'aide du plug-in Indiquerump.

  10. Cliquez sur Valider pour valider l'analyseur personnalisé.

    Le processus de validation peut prendre quelques minutes. Nous vous recommandons donc de prévisualiser l'analyseur personnalisé, d'apporter des modifications si nécessaire, puis de le valider.

  11. Cliquez sur Envoyer.

    L'analyseur est sélectionné pour la normalisation au bout de 20 minutes.

Créer un analyseur personnalisé à partir d'un analyseur existant

Vous pouvez utiliser un analyseur existant comme modèle pour en créer un. Vous ne pouvez créer un analyseur personnalisé qu'à l'aide de l'approche par code. Pour créer un analyseur personnalisé à partir d'un analyseur existant, procédez comme suit:

  1. Dans le menu de l'application , sélectionnez Settings (Paramètres) > Parsers (Analyseurs).

  2. Cliquez sur Créer un analyseur.

  3. Sélectionnez une source de journal appropriée dans la liste Source de journal.

  4. Sélectionnez Commencer avec un analyseur prédéfini pour créer un analyseur personnalisé à partir d'un analyseur existant.

  5. Cliquez sur Créer.

  6. Modifiez le code dans le terminal du code de l'analyseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extrait de code.

  7. Facultatif : Cliquez sur  pour modifier le journal brut.

  8. Facultatif: Cliquez sur pour actualiser le journal brut.

  9. Lorsque vous ajoutez du code pour créer l'analyseur, cliquez sur Preview (Aperçu) pour afficher la sortie UDM. Un message d'erreur s'affiche si le code est incorrect.

    Dans l'aperçu, vous pouvez utiliser le plug-in de filtre "predictump" pour valider l'état interne l'état actuel d'un analyseur. Pour en savoir plus, consultez la section Valider les données à l'aide du plug-in statedump.

  10. Cliquez sur Valider pour valider l'analyseur personnalisé.

    Le processus de validation peut prendre quelques minutes. Nous vous recommandons donc de prévisualiser l'analyseur personnalisé, d'apporter des modifications si nécessaire, puis de le valider.

  11. Cliquez sur Envoyer.

    L'analyseur est sélectionné pour la normalisation au bout de 20 minutes.

Gérer les mises à jour des analyseurs prédéfinis

Lorsque Google Security Operations publie une mise à jour d'un analyseur, les mises à jour sont en attente pendant 15 jours. Pour activer ou désactiver une mise à jour de l'analyseur, examinez les différences entre l'ancienne et la nouvelle version de l'analyseur en procédant comme suit:

  1. Connectez-vous à votre instance Google Security Operations.

  2. Dans le menu d'application , sélectionnez Paramètres > Analyseurs.

  3. Cliquez sur Filtrer.

  4. Sélectionnez Précompilé, Actif et Précompilé et étendu dans la liste.

    Vos analyseurs prédéfinis actifs s'affichent. Les analyseurs prédéfinis sont des analyseurs par défaut publié par Google Security Operations. Si la colonne Update contient la mention Pending (En attente) comme état, cela indique que l'analyseur dispose d'une mise à jour que vous pouvez inspecter.

  5. Cliquez sur Menu , puis sélectionnez Affichez la mise à jour en attente dans la liste.

    La page Comparer les analyseurs s'affiche. Vous y trouverez les éléments suivants:

    • Différence de code entre la version actuelle et la version à venir de l'analyseur

    • Les journaux de modifications de l'onglet Journaux des modifications

    • Événement UDM généré pour le journal brut échantillonné

    • La date et l'heure de création de l'analyseur

    • Date et heure de la dernière mise à jour du code d'analyseur

    Vous pouvez activer la mise à jour plus tôt ou attendre qu'elle soit appliquée automatiquement dans un délai de 15 jours.

Activer à l'avance les mises à jour de l'analyseur

La fonctionnalité de gestion de l'analyseur vous permet d'activer de façon anticipée une mise à jour et un test de l'analyseur Vous ne pouvez activer les mises à jour de l'analyseur à l'avance que si vous utilisez un analyseur prédéfini. Une fois inscrit de manière anticipée, vous pouvez rétablir l'ancienne version de l'analyseur dans 15 jours après la publication de la mise à jour. Pour activer la mise à jour plus tôt, procédez comme suit :

  1. Sur la page Comparer les analyseurs, cliquez sur Activer la mise à jour de l'analyseur.

    La boîte de dialogue Confirmer la mise à jour de l'analyseur s'affiche.

  2. Cliquez sur Confirmer.

    L'analyseur est sélectionné pour la normalisation au bout de 20 minutes.

Désactiver les mises à jour de l'analyseur

Pour désactiver les mises à jour actuelles et futures de l'analyseur, créez un analyseur personnalisé. Toi peut utiliser la version actuelle ou la version mise à jour de l'analyseur comme analyseur personnalisé. Tout les futures mises à jour apportées à un analyseur personnalisé seront visibles par vous, mais ne seront pas appliquées. sauf si vous les activez. Pour désactiver les mises à jour actuelles ou futures, suivez procédez comme suit:

  1. Sur la page Comparer les analyseurs, cliquez sur Ignorer la mise à jour.

    La fenêtre Ignorer la mise à jour et créer un analyseur personnalisé s'affiche.

  2. Cliquez sur Créer un analyseur personnalisé.

  3. Pour définir la version par défaut de l'analyseur comme analyseur personnalisé, sélectionnez Analyseur prédéfini. Pour définir la version mise à jour comme analyseur personnalisé, sélectionnez Mise à jour de l'analyseur en attente.

  4. Cliquez sur Créer.

    La version sélectionnée est sélectionnée pour la normalisation au bout de 20 minutes. Il apparaît sous les valeurs Personnalisé et Actif dans la liste des analyseurs sur la page Analyseurs. La version prédéfinie précédente s'affiche comme Préintégrées et Inactives.

Gérer les mises à jour des analyseurs personnalisés

Lorsque vous désactivez les mises à jour de l'analyseur prédéfini, un analyseur personnalisé est créé. Un analyseur personnalisé s'affiche dans la liste des analyseurs sous forme d'une nouvelle entrée.

Désactiver un analyseur personnalisé

  1. Dans le menu d'application , sélectionnez Paramètres > Analyseurs.

  2. Cliquez sur Menu pour l'analyseur. que vous souhaitez désactiver, puis sélectionnez Désactiver dans la liste.

    La boîte de dialogue Rendre l'analyseur inactif s'affiche.

  3. Cliquez sur Désactiver.

L'analyseur personnalisé est désactivé et la version par défaut de l'analyseur est activée au bout de 20 minutes. Autrement dit, l'analyseur personnalisé devient un analyseur prédéfini. Si vous avez créé un analyseur personnalisé à partir d'un analyseur prédéfini avec des mises à jour, les mises à jour sont perdues lorsque vous rétablissez l'analyseur personnalisé en analyseur prédéfini. Vous devez à nouveau activer les mises à jour de l'analyseur.

Supprimer un analyseur personnalisé

  1. Dans le menu de l'application , sélectionnez Settings (Paramètres) > Parsers (Analyseurs).

  2. Cliquez sur  Menu à côté de l'analyseur que vous souhaitez supprimer, puis sélectionnez Delete (Supprimer) dans la liste.

    La boîte de dialogue Supprimer l'analyseur personnalisé s'affiche.

  3. Cliquez sur Supprimer.

L'analyseur personnalisé est supprimé et la version par défaut de l'analyseur est activée au bout de 20 minutes. Autrement dit, l'analyseur personnalisé devient un analyseur prédéfini. Si vous avez créé un analyseur personnalisé à partir d'un analyseur prédéfini contenant des mises à jour, celles-ci sont perdues lorsque vous rétablissez le un analyseur personnalisé à un analyseur prédéfini. Vous devez à nouveau activer les mises à jour de l'analyseur.

Créer une extension

Vous pouvez étendre un analyseur personnalisé ou prédéfini en définissant des instructions de mappage personnalisées. pour extraire des données supplémentaires d'un journal brut d'origine. Vous pouvez insérer les données dans l'enregistrement UDM généré par un analyseur personnalisé. Vous ne pouvez pas créer d'analyseur avec les extensions d'analyseur.

Pour en savoir plus sur la création d'extensions d'analyseur, consultez la section Utiliser des extensions d'analyseur.

Annuler une mise à jour anticipée d'un analyseur prédéfini

Si vous avez activé une mise à jour de l'analyseur plus tôt, vous pouvez revenir à la version précédente dans un délai de 15 jours. Pour revenir à la version précédente de l'analyseur, procédez comme suit :

  1. Dans le menu d'application , sélectionnez Paramètres > Analyseurs.

  2. Cliquez sur  Menu à côté de l'analyseur que vous souhaitez annuler.

  3. Cliquez sur Afficher.

    La page Afficher l'analyseur prédéfini s'affiche.

  4. Cliquez sur Rétablir la version précédente.

    La boîte de dialogue Rétablir la version précédente s'affiche. Vous pouvez cliquer sur Comparer les analyseurs dans la boîte de dialogue pour voir les différences entre la version actuelle et la version précédente.

  5. Cliquez sur Confirmer pour rétablir la version précédente de l'analyseur.

    La version précédente de l'analyseur est rétablie au bout de 20 minutes.

Contrôler l'accès à la gestion des analyseurs

Par défaut, les mises à jour de l'analyseur peuvent être gérées par les utilisateurs disposant des rôles Administrateur et Éditeur. De nouvelles autorisations peuvent être accordées pour contrôler qui peut consulter et gérer les mises à jour de l'analyseur. Pour en savoir plus sur la gestion des utilisateurs, ou l'attribution de rôles, consultez le guide utilisateur du contrôle des accès basé sur les rôles.