Esta página foi traduzida pela API Cloud Translation.

Gerenciar analisadores pré-criados e personalizados

Compatível com:

Google SecOps SIEM

Este documento descreve como: Este documento descreve como:

Crie e gerencie analisadores personalizados.
Receba acesso antecipado às próximas atualizações de analisadores pré-criados iniciadas pelo Google Security Operations.
Estenda as instruções de mapeamento criando uma extensão de analisador para um analisador predefinido ou personalizado.
Controle o acesso ao gerenciamento do analisador.
Crie e gerencie analisadores personalizados.
Receba acesso antecipado às próximas atualizações de analisadores pré-criados iniciadas pelo Google Security Operations.
Estenda as instruções de mapeamento criando uma extensão de analisador para um analisador predefinido ou personalizado.
Controle o acesso ao gerenciamento do analisador.

Tipos de parsers: Tipos de parsers:

dados de registro originais para os campos do [UDM](/chronicle/docs/event-processing/udm-overview).

Tipo de analisador	Descrição
Pré-criado	Parsers criados pelas Operações de segurança do Google e que contêm instruções integradas de mapeamento de dados para transformar os dados de registro originais em campos do [UDM](/chronicle/docs/event-processing/udm-overview).
Pré-montagem estendida	Um analisador pré-criado criado pelos clientes com instruções de mapeamento adicionais para extrair outros dados de um registro bruto original e inseri-los no registro do UDM.
Personalizado	Parsers criados pelos clientes com instruções de mapeamento de dados personalizadas para transformar dados de registro originais em campos do UDM.
Personalizado estendido	Um analisador personalizado criado pelos clientes com instruções de mapeamento adicionais usando uma extensão de analisador para extrair outros dados de um registro bruto original e inseri-los no registro do UDM.

Gerenciar atualizações de analisadores pré-criados

O Google Security Operations geralmente atualiza os analisadores pré-criados durante a quarta semana de cada mês. Essas atualizações são disponibilizadas primeiro para os clientes para acesso antecipado e testes. À medida que as próximas atualizações do analisador ficam disponíveis, elas são marcadas como Pendente na lista de analisadores. É possível examinar a diferença entre as versões anteriores e mais recentes do analisador ou ativar a atualização do analisador antes do teste ou pular a atualização e criar um analisador personalizado. O Google Security Operations geralmente atualiza os analisadores pré-criados durante a quarta semana de cada mês. Essas atualizações são disponibilizadas primeiro para os clientes para acesso antecipado e testes. À medida que as próximas atualizações do analisador ficam disponíveis, elas são marcadas como Pendente na lista de analisadores. É possível examinar a diferença entre as versões anteriores e mais recentes do analisador ou ativar a atualização do analisador antes do teste ou pular a atualização e criar um analisador personalizado.

Para conferir as atualizações pendentes, faça o seguinte:

Faça login na sua instância do Google Security Operations.
No menu do aplicativo , selecione Settings > Parsers.
Clique em Filtrar.
Selecione Prebuilt, Active e Prebuilt Extended na lista.

Uma lista de analisadores pré-criados ativos (padrão) é exibida. As próximas atualizações do analisador são marcadas como Pendente na coluna Atualização.
Clique em Menu e selecione Ver atualização pendente na lista.

A página Comparar analisadores é exibida. Aqui, você pode conferir:
- A diferença de código entre a versão atual e a próxima do analisador.
- Os registros de alterações na guia Registros de alterações.
- O evento UDM gerado para o registro bruto amostrado.
- A data e a hora em que o analisador foi criado.
- A data e a hora em que o código do analisador foi atualizado pela última vez.
É possível ativar a atualização do analisador com antecedência, pular a atualização e criar um analisador personalizado ou esperar que a atualização seja aplicada automaticamente durante a quarta semana do mês.

Ativar a atualização do analisador antecipadamente

O recurso de gerenciamento de analisador permite ativar a atualização do analisador com antecedência. Por exemplo, se você quiser testar.

Para ativar a atualização do analisador com antecedência, siga estas etapas:

Na página Compare parsers, clique em Ativar a atualização do analisador.

A caixa de diálogo Confirmar atualização do analisador aparece.
Clique em Confirmar.

O analisador é ativado para o processo de normalização após 20 minutos.

Pular atualizações de analisador pré-criadas

Para pular as atualizações atuais e futuras do analisador pré-criado, crie um analisador personalizado da seguinte maneira:

Na página Comparar analisadores, clique em Pular atualização.

A janela Skip update and create custom parser aparece.
Clique em Criar analisador personalizado.
Para o Tipo de analisador para começar, selecione o Analisador predefinido atual ou a Atualização de analisador pendente.
Clique em Criar.

Observação: se um analisador personalizado já existir para essa origem de registro, não será possível criar outro. A mensagem a seguir é exibida: Um analisador personalizado já existe para essa origem de registro.

A versão selecionada é ativada para o processo de normalização após 20 minutos. Ele aparece como Personalizado e Ativo na lista de analisadores na página Analisadores. A versão predefinida anterior aparece como Prebuilt e Inactive.

Observação: todas as atualizações futuras do analisador predefinido permanecem visíveis, mas não são aplicadas a menos que você desative o analisador personalizado e volte à versão predefinida.

Reverter uma atualização anterior do analisador pré-criado

Se você tiver ativado a atualização do analisador com antecedência, ainda poderá reverter para a versão anterior até a quarta semana do mês, quando a atualização será ativada automaticamente.

Para voltar à versão anterior do analisador, siga estas etapas:

No menu do aplicativo , selecione Settings > Parsers.
Clique em Menu no analisador que você quer reverter.
Clique em Visualizar.

A página View prebuilt parser aparece.
Clique em Reverter para a versão anterior.

A caixa de diálogo Reverter para anterior é exibida. Clique em Compare Parsers na caixa de diálogo para conferir a diferença entre a versão atual e a anterior.
Clique em Confirmar para reverter o analisador para a versão anterior.

O analisador é revertido para a versão anterior após 20 minutos.

Analisadores personalizados

O Google Security Operations oferece flexibilidade para criar um analisador personalizado por vários motivos, incluindo:

Crie um analisador personalizado para um tipo de registro que não tem um analisador pré-criado. Crie um analisador totalmente novo diretamente do registro bruto ou use um analisador atual como base para o novo analisador personalizado.
É possível criar um analisador personalizado para ignorar atualizações de analisadores predefinidos.

Os analisadores personalizados são exibidos na lista de analisadores.

Criar um analisador personalizado com base em instruções de mapeamento

É possível criar um analisador personalizado escrevendo um código que converta o registro bruto original em um registro do UDM. Para a estrutura de um analisador, consulte Visão geral da análise de registros e Referência de sintaxe do analisador para informações sobre a sintaxe. Ao criar um analisador, verifique se as instruções de mapeamento de dados preenchem o maior número possível de campos importantes do UDM.

Acesse Configurações do SIEM.
Acesse Configurações do SIEM.
Clique em Criar analisador.
Selecione uma origem de registro adequada na lista Origem de registro.
Selecione Iniciar com apenas registros brutos para criar um novo analisador de acordo com seus requisitos.
Clique em Criar.
Insira o código no terminal de código do analisador. Para mais informações, consulte Criar uma instrução de mapeamento de snippet de código.
Insira o código no terminal de código do analisador. Para mais informações, consulte Criar uma instrução de mapeamento de snippet de código.
Opcional: clique em para editar o registro bruto ou a cópia.
Opcional: clique em para carregar o registro bruto mais recente.
Clique em Visualizar para conferir a saída da UDM. Uma mensagem de erro será exibida se o código estiver incorreto.

Na visualização, é possível usar o plug-in de filtro statedump para validar o estado interno de um analisador. Para mais informações, consulte Validar dados usando o plug-in statedump.
Clique em Validar para validar o analisador personalizado.

O processo de validação pode levar alguns minutos. Por isso, recomendamos que você confira o analisador personalizado primeiro, faça as alterações necessárias e, em seguida, valide o analisador personalizado.
Clique em Enviar.

O analisador é ativado para o processo de normalização após 20 minutos. O analisador é ativado para o processo de normalização após 20 minutos.

Criar um analisador personalizado com base em um analisador existente

É possível usar um analisador existente como modelo para criar um novo. É possível criar um analisador personalizado usando apenas a abordagem de código. Para criar um analisador personalizado a partir de um analisador existente, siga estas etapas:

No menu do aplicativo , selecione Settings > Parsers.
Clique em Criar analisador.
Selecione uma origem de registro adequada na lista Origem de registro.
Selecione Iniciar com um analisador pré-criado para usar um analisador existente como base para criar um novo analisador personalizado.

Observação: se a origem de registro selecionada não tiver um analisador pré-criado, essa opção não será exibida.
Clique em Criar.
Edite o código no Parser Code Terminal. Para mais informações, consulte Criar uma instrução de mapeamento de snippet de código.
Opcional: clique em para editar o registro bruto.
Opcional: clique em para atualizar o registro bruto.
À medida que você adiciona código para criar o analisador, clique em Prévia para conferir a saída da UDM. Uma mensagem de erro será exibida se o código estiver incorreto.

Na visualização, é possível usar o plug-in de filtro statedump para validar o estado interno de um analisador. Para mais informações, consulte Validar dados usando o plug-in statedump.
Clique em Validar para validar o analisador personalizado.

O processo de validação pode levar alguns minutos. Por isso, recomendamos que você faça uma prévia do analisador personalizado, faça as alterações necessárias e, em seguida, valide o analisador.
Clique em Enviar.

O analisador é ativado para o processo de normalização após 20 minutos. O analisador é ativado para o processo de normalização após 20 minutos.

Desativar um analisador personalizado

No menu do aplicativo , selecione Settings > Parsers.
Clique em Menu ao lado do analisador que você quer desativar e selecione Desativar na lista.

A caixa de diálogo Make parser inactive aparece.
Clique em Tornar inativo.

O analisador personalizado é desativado, e a versão atual do analisador pré-criado é ativada após 20 minutos. O analisador pré-criado agora se torna o analisador padrão. O analisador personalizado é desativado, e a versão atual do analisador pré-criado é ativada após 20 minutos. O analisador pré-criado agora se torna o analisador padrão.

Excluir um analisador personalizado

No menu do aplicativo , selecione Settings > Parsers.
Clique em Menu no analisador personalizado que você quer excluir e selecione Excluir na lista. Observação: não é possível excluir um analisador pré-criado.
Clique em Menu no analisador personalizado que você quer excluir e selecione Excluir na lista. Observação: não é possível excluir um analisador pré-criado.

A caixa de diálogo Delete custom parser aparece.
Clique em Excluir.

O analisador personalizado é excluído, e a versão atual do analisador pré-criado é ativada após 20 minutos. O analisador personalizado é excluído, e a versão atual do analisador pré-criado é ativada após 20 minutos.

Criar uma extensão

As extensões de analisador oferecem uma maneira flexível de estender os recursos de analisadores padrão (pré-criados) e personalizados. Eles não substituem os analisadores predefinidos ou personalizados. Em vez disso, eles permitem a extração contínua de campos adicionais do registro bruto original para o registro do UDM. Uma extensão de analisador é diferente de um analisador personalizado. Para criar uma extensão de analisador, consulte Usar extensões de analisador. As extensões de analisador oferecem uma maneira flexível de estender os recursos de analisadores padrão (pré-criados) e personalizados. Eles não substituem os analisadores predefinidos ou personalizados. Em vez disso, eles permitem a extração contínua de campos adicionais do registro bruto original para o registro do UDM. Uma extensão de analisador é diferente de um analisador personalizado. Para criar uma extensão de analisador, consulte Usar extensões de analisador.

Controlar o acesso ao gerenciamento do analisador

Por padrão, os usuários com as funções de Administrador e Editor podem gerenciar as atualizações do analisador. É possível conceder novas permissões para controlar quem pode visualizar e gerenciar essas atualizações. Para mais informações sobre como gerenciar usuários e grupos ou atribuir funções, consulte o guia do usuário do controle de acesso baseado em papéis.