管理预构建和自定义解析器

支持的平台:

本文档介绍了如何使用解析器管理功能来创建 自定义解析器,也可以选择启用或停用由 Google Security Operations 发起的预构建解析器更新。

对预构建解析器的更改会以候选版本的形式定期发布。在候选版本期间,您可以选择更新一个或多个解析器 其中包含待更改项每 4 周,当待处理的解析器更改提升为默认更改时,待处理的更新会自动变为有效。启动 根据更改的发布时间在 候选版本窗口。

借助解析器管理功能,您可以在更新配置期间 候选版本窗口。您可以查看对预构建解析器的过往更改的列表 还可以查看发布频率中即将发生的变化然后,您可以选择启用 停止更新。

此外,您还可以使用 Google Security Operations 灵活地为没有预构建解析器的日志类型创建自定义解析器。您可以创建一个 新解析器或以现有解析器为基础 新的自定义解析器。您可以通过为预构建的解析器或自定义解析器创建解析器扩展来扩展映射说明。

各种类型的解析器如下:

解析器类型 说明
预构建 由 Google Security Operations 创建且包含用于转换的内置数据映射指令的解析器 UDM 字段中的原始日志数据。
预构建扩展 客户创建的预构建解析器,其中包含额外的映射说明,可提取额外的 原始原始日志中的数据,并将其插入 UDM 记录。
自定义 客户使用自定义数据映射说明创建的解析器,用于将原始日志数据转换为 UDM 字段。
自定义扩展 由客户创建的自定义解析器,包含额外的映射说明,使用解析器扩展程序来提取额外的 原始原始日志中的数据,并将其插入 UDM 记录。

准备工作

以下文档介绍了管理解析器更新的重要前提概念:

根据映射说明创建自定义解析器

您可以编写代码来将原始原始日志转换为 UDM 记录,从而创建自定义解析器。如需了解解析器的结构,请参阅日志解析概览;如需了解语法,请参阅解析器语法参考文档。创建解析器时,请确保数据映射说明会填充尽可能多的重要 UDM 字段

  1. 在导航栏中,依次选择设置 > SIEM 设置

  2. 点击创建解析器

  3. 日志源列表中选择适当的日志源。

  4. 选择仅从原始日志开始,以根据您的要求创建新的解析器。

  5. 点击创建

  6. 解析器代码终端中输入代码。如需了解详情,请参阅创建代码段映射说明

  7. 可选:点击 修改现有原始日志或副本。

  8. 可选:点击 以加载最新的原始日志。

  9. 点击预览以查看 UDM 输出。如果代码不正确,系统会显示错误消息。

    在预览版中,您可以使用 statedump 过滤器插件来验证内部 解析器的状态如需了解详情,请参阅使用 statedump 插件验证数据

  10. 点击验证以验证自定义解析器。

    验证过程可能需要几分钟的时间,因此我们建议您 先预览自定义解析器,根据需要进行更改,然后验证 自定义解析器

  11. 点击提交

    20 分钟后,选择解析器进行标准化。

基于现有解析器创建自定义解析器

您可以使用现有解析器作为模板来创建新的解析器。您只能使用代码方法创建自定义解析器。如需通过现有解析器创建自定义解析器,请按以下步骤操作:

  1. 应用菜单中,依次选择设置 > 解析器

  2. 点击 Create Parser

  3. Log Source(日志来源)列表中选择适当的日志来源。

  4. 选择从现有的预构建解析器开始,以使用现有解析器为基础创建新的自定义解析器。

  5. 点击创建

  6. 解析器代码终端中修改代码。如需了解详情,请参阅创建代码段映射说明

  7. 可选:点击 以修改原始日志。

  8. 可选:点击 以刷新原始日志。

  9. 在添加代码来构建解析器时,点击 Preview 以查看 UDM 输出。如果验证码不正确,系统会显示错误消息。

    在预览版中,您可以使用 statedump 过滤器插件来验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据

  10. 点击验证以验证自定义解析器。

    验证过程可能需要几分钟时间,因此建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。

  11. 点击提交

    系统会在 20 分钟后选择解析器进行规范化。

管理预构建解析器更新

当 Google Security Operations 发布解析器更新时,这些更新会在 15 天内处于待处理状态。要选择加入或退出解析器更新,请检查 更新旧版解析器,方法如下:

  1. 登录到您的 Google Security Operations 实例。

  2. 应用菜单中,依次选择设置 > 解析器

  3. 点击 过滤

  4. 从列表中选择 PrebuiltActivePrebuilt Extended

    系统会显示您当前使用的预构建解析器。预构建解析器是 Google Security Operations 发布的默认解析器。如果 Update(更新)列的状态为 Pending(待处理),则表示解析器有可供您检查的更新。

  5. 点击 Menu(菜单),然后选择 从列表中查看待处理的更新

    随即会出现比较解析器页面。您可以在此处查看以下内容:

    • 当前解析器版本与即将发布的解析器版本之间的代码差异

    • 更新日志标签页中的更新日志

    • 为采样原始日志生成的 UDM 事件

    • 解析器的创建日期和时间

    • 上次更新解析器代码的日期和时间

    您可以提前选择启用,等待系统自动应用更新 或选择停用该功能。

尽早选择接收解析器更新

借助解析器管理功能,您可以抢先选择启用解析器更新并对其进行测试。只有在使用预构建的解析器时,才能提前选择启用解析器更新。 提前选择启用后,您可以在更新发布后的 15 天内将解析器还原为其较低版本。如需抢先参与更新,请按以下步骤操作:

  1. 比较解析器页面上,点击启用解析器更新

    系统会显示确认解析器更新对话框。

  2. 点击确认

    系统会在 20 分钟后选择解析器进行规范化。

选择停用解析器更新

如需停用当前和未来的解析器更新,请创建自定义解析器。您 可以将当前或更新版本的解析器用作自定义解析器。全部 您可以查看未来对自定义解析器进行的更新,但不会应用这些更新 除非您选择启用这些功能如需停用当前或未来的更新,请按以下步骤操作:

  1. 比较解析器页面上,点击跳过更新

    系统随即会显示跳过更新并创建自定义解析器窗口。

  2. 点击创建自定义解析器

  3. 要将默认解析器版本设置为自定义解析器,请选择预构建版本 解析器。要将更新版本设置为自定义解析器,请选择待处理 解析器更新”

  4. 点击创建

    系统会在 20 分钟后选择要进行标准化的版本。它在解析器页面的解析器列表中显示为自定义有效。系统会显示较早的预构建版本 分别为预构建无效

管理自定义解析器更新

当您选择停用预构建解析器更新时,系统会创建一个自定义解析器。自定义解析器会以新条目的形式显示在解析器列表中。

使自定义解析器处于非活动状态

  1. 应用菜单中,依次选择设置 > 解析器

  2. 针对要停用的解析器点击 Menu(菜单),然后从列表中选择 Make inactive(停用)。

    系统会显示使解析器处于非活动状态对话框。

  3. 点击设为无效

自定义解析器被停用,默认解析器版本会在 20 分钟后启用。 也就是说,自定义解析器会变为预构建的解析器。如果您使用更新从预构建解析器创建了自定义解析器,那么当您将自定义解析器还原为预构建解析器时,这些更新会丢失。您必须再次选择启用解析器更新。

删除自定义解析器

  1. 应用菜单中,选择 设置 >解析器

  2. 点击解析器对应的 Menu ,然后从列表中选择删除

    此时将显示 Delete custom parser 对话框。

  3. 点击删除

自定义解析器会在 20 分钟后被删除,系统会激活默认解析器版本。也就是说,自定义解析器会变成预构建解析器。如果您已经创建了自定义解析器 预构建解析器中进行了更新,那么当您将 预建解析器您必须再次选择启用解析器更新。

创建扩展程序

您可以通过定义自定义映射说明来扩展自定义解析器或预构建解析器,以便从原始原始日志中提取其他数据。您可以将数据插入 自定义解析器生成的 UDM 记录。您无法使用解析器扩展程序创建新的解析器。

如需了解如何创建解析器扩展程序,请参阅使用解析器扩展程序

还原预构建解析器的早期更新

如果您已提前选择接受解析器更新,则可以在 15 天内恢复为之前的版本。如需切换回之前的解析器版本,请按以下步骤操作:

  1. 应用菜单中,依次选择设置 > 解析器

  2. 针对要还原的解析器,点击 Menu

  3. 点击查看

    系统随即会显示查看预构建解析器页面。

  4. 点击还原为上一个版本

    系统随即会显示还原至上一个对话框。您可以点击比较解析器 来查看当前版本和以前版本之间的区别。

  5. 点击确认,将解析器还原为其先前版本。

    解析器会在 20 分钟后还原为之前的版本。

控制对解析器管理的访问权限

默认情况下,解析器更新可以由拥有管理员Editor 角色。您可以授予新权限,以控制哪些人可以查看和管理解析器更新。如需详细了解如何管理用户和群组或分配角色,请参阅基于角色的访问权限控制用户指南