Administra analizadores compilados previamente y personalizados
En este documento, se describe cómo puedes usar la función de administración de analizadores para crear personalizados o habilitar o inhabilitar las actualizaciones de analizadores precompiladas que inicia Google Security Operations.
Los cambios en los analizadores compilados previamente se lanzan con frecuencia como versiones candidatas. Durante el período de versión candidata, puedes actualizar uno o más analizadores con los cambios pendientes. Cada 4 semanas, las actualizaciones pendientes se activan automáticamente cuando los cambios pendientes del analizador se promocionan a la configuración predeterminada. La cantidad de tiempo para evaluar un cambio depende de cuándo se lanzó el cambio durante el ventana de versión candidata.
La función de administración de analizadores te permite inspeccionar y probar la actualización durante la ventana de versión candidata. Puedes ver una lista de los cambios anteriores en un analizador prediseñado y también ver los próximos cambios en la cadencia de lanzamientos. Luego, puedes aceptar o rechazar la actualización.
Google Security Operations también te brinda la flexibilidad de crear un analizador personalizado para un tipo de registro que no tiene un analizador precompilado. Puedes crear un modelo completamente nuevo nuevo analizador directamente desde el registro sin procesar, o bien usa un analizador existente como base para un nuevo analizador personalizado. Puedes extender las instrucciones de asignación creando un analizador para un analizador precompilado o personalizado.
Los diferentes tipos de analizadores son los siguientes:
Tipo de analizador | Descripción |
---|---|
Compilado previamente | Analizadores que crea Google Security Operations y contienen instrucciones integradas de asignación de datos para la transformación los datos de registro originales a los campos UDM. |
Compilado previamente extendido | Un analizador previamente creado por los clientes con instrucciones de asignación adicionales para extraer información de datos de un registro original sin procesar y, luego, insertarlos en el registro UDM. |
Personalizado | Analizadores que crean los clientes con instrucciones personalizadas de asignación de datos para la transformación los datos de registro originales a los campos UDM. |
Personalizada extendida | Un analizador personalizado creado por clientes con instrucciones de asignación adicionales a través de una extensión de analizador para extraer datos de datos de un registro original sin procesar y, luego, insertarlos en el registro UDM. |
Antes de comenzar
En los siguientes documentos, se explican los conceptos de requisitos previos que son importantes para Administrar las actualizaciones del analizador:
Crea un analizador personalizado según las instrucciones de asignación
Puedes crear un analizador personalizado escribiendo código que convierta la versión sin procesar original a un registro de UDM. Para obtener información sobre la estructura de un analizador, consulta Descripción general del análisis de registros y Referencia de sintaxis del analizador. Cuando crees un analizador, asegúrate de que las instrucciones de asignación de datos propaguen la mayor cantidad posible de campos de la UDM importantes.
En la barra de navegación, selecciona Configuración > Configuración de SIEM.
Haz clic en Create Parser.
Selecciona una fuente de registro apropiada de la lista Fuente de registro.
Selecciona Start with Raw Logs Only para crear un analizador nuevo según tus requisitos.
Haz clic en Crear.
Escribe el código en la terminal de código de Parser. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmentos de código.
Opcional: Haz clic en
para editar el registro o la copia existentes sin procesar.Opcional: Haz clic en
para cargar el último registro sin procesar.Haz clic en Vista previa para ver el resultado de UDM. Si el código es incorrecto, se muestra un mensaje de error.
En la vista previa, puedes usar el complemento de filtro statedump para validar el estado de un analizador. Para obtener más información, consulta Cómo validar los datos con el complemento de volcado de estado.
Haz clic en Validar para validar el analizador personalizado.
El proceso de validación puede tardar unos minutos, por lo que te recomendamos obtener una vista previa del analizador personalizado primero, realizar cambios si es necesario y, luego, validar el analizador personalizado.
Haz clic en Enviar.
El analizador se elige para la normalización después de 20 minutos.
Crea un analizador personalizado a partir de uno existente
Puedes usar un analizador existente como plantilla para crear uno nuevo. Puedes crear un analizador personalizado solo con el enfoque de código. Para crear un analizador personalizado a partir de uno existente, sigue estos pasos:
En el menú de la aplicación
, selecciona Configuración > Análisis.Haz clic en Create Parser.
Selecciona una fuente de registro apropiada de la lista Fuente de registro.
Selecciona Start with an Existing Prebuilt Parser para usar un analizador existente como base y crear un analizador personalizado nuevo.
Haz clic en Crear.
Edita el código en la Terminal de código de Parser. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmentos de código.
Opcional: Haz clic en
para editar el registro sin procesar.Opcional: Haz clic en
para actualizar el registro sin procesar.A medida que agregues código para compilar el analizador, haz clic en Preview para ver el resultado de UDM. Si el código es incorrecto, se muestra un mensaje de error.
En la vista previa, puedes usar el complemento de filtro statedump para validar el estado de un analizador. Para obtener más información, consulta Cómo validar los datos con el complemento de volcado de estado.
Haz clic en Validate para validar el analizador personalizado.
El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices cambios si es necesario y, luego, valides el analizador personalizado.
Haz clic en Enviar.
El analizador se elige para la normalización después de 20 minutos.
Cómo administrar actualizaciones de analizadores compilados previamente
Cuando Google Security Operations lanza una actualización de un analizador, estas quedan pendientes. durante 15 días. Para habilitar o inhabilitar una actualización del analizador, examina la diferencia entre las versiones anteriores y las más recientes del analizador. Para ello, haz lo siguiente:
Accede a tu instancia de Google Security Operations.
Desde el menú de la aplicación
, selecciona Configuración > Analizadores.Haz clic en
Filtrar.En la lista, selecciona Prebuilt, Active y Prebuilt Extended.
Se muestran los analizadores precompilados activos. Los analizadores previamente compilados son analizadores predeterminados que lanzó Google Security Operations. Si la columna Update contiene Pending como estado, indica que el analizador tiene una actualización que puedes inspeccionar.
Haz clic en
Menú y selecciona Ver actualización pendiente en la listaAparecerá la página Comparar analizadores. Aquí, podrás ver lo siguiente:
La diferencia de código entre la versión actual y la próxima del analizador
Los registros de cambios en la pestaña Registros de cambios
El evento de UDM generado para el registro sin procesar de muestra
Fecha y hora en que se creó el analizador
La fecha y hora de la última actualización del código del analizador
Puedes habilitar la actualización con anticipación o esperar a que se aplique automáticamente. dentro de 15 días o inhabilitarlo.
Acepta las actualizaciones de analizadores anticipadamente
La función de administración de analizadores te permite aceptar de manera anticipada una actualización y prueba del analizador que la modifica. Puedes habilitar las actualizaciones del analizador de manera anticipada solo si usas un analizador previamente compilado. Una vez que habilites la versión preliminar, podrás revertir el analizador a su versión anterior en un plazo de 15 días a partir del lanzamiento de la actualización. Para aceptar la actualización de forma anticipada, sigue estos pasos:
En la página Comparar analizadores, haz clic en Activar la actualización del analizador.
Aparecerá el diálogo Confirmar actualización del analizador.
Haz clic en Confirmar.
El analizador se elige para la normalización después de 20 minutos.
Cómo inhabilitar las actualizaciones del analizador
Crea uno personalizado para inhabilitar las actualizaciones actuales y futuras del analizador. Tú puede usar tu versión actual o la versión actualizada del analizador como personalizado. Podrás ver todas las actualizaciones futuras de un analizador personalizado, pero no se aplicarán a menos que las habilites. Para inhabilitar las actualizaciones actuales o futuras, sigue estos pasos:
En la página Comparar analizadores, haz clic en Omitir actualización.
Aparecerá la ventana Omitir actualización y crear analizador personalizado.
Haz clic en Crear analizador personalizado.
Para configurar la versión predeterminada del analizador como personalizado, selecciona Prebuilt analizador. Para configurar la versión actualizada como analizador personalizado, selecciona Pendiente Actualización del analizador.
Haz clic en Crear.
La versión seleccionada se elige para la normalización después de 20 minutos. Aparece como Personalizada y Activa en la lista de analizadores en la página Parsers. La versión precompilada anterior aparece como Precompilada y Inactiva.
Administra las actualizaciones del analizador personalizado
Cuando inhabilitas las actualizaciones de analizadores compilados previamente, se crea un analizador personalizado. Un analizador personalizado está visible en la lista de analizadores como una entrada nueva.
Cómo desactivar un analizador personalizado
Desde el menú de la aplicación
, selecciona Configuración > Analizadores.Haz clic en
Menú junto al analizador que deseas inhabilitar y selecciona Inhabilitar en la lista.Aparecerá el diálogo Activar el analizador.
Haz clic en Desactivar.
El analizador personalizado se desactiva y su versión predeterminada se activa después de 20 minutos. Es decir, el analizador personalizado se convierte en uno compilado previamente. Si creaste un analizador personalizado de un analizador compilado previamente con actualizaciones, estas se pierden cuando reviertes personalizado en un analizador previamente compilado. Debes volver a habilitar las actualizaciones del analizador.
Borra un analizador personalizado
Desde el menú de la aplicación
, selecciona Configuración > Analizadores.Haz clic en
Menu junto al analizador. que quieras borrar y selecciona Borrar en la lista.Aparecerá el diálogo Borrar analizador personalizado.
Haz clic en Borrar.
Se borrará el analizador personalizado y su versión predeterminada se activará después de 20 minutos. Es decir, el analizador personalizado se convierte en uno compilado previamente. Si creaste un analizador personalizado de un analizador compilado previamente con actualizaciones, estas se pierden cuando reviertes personalizado en un analizador previamente compilado. Debes volver a habilitar las actualizaciones del analizador.
Crea una extensión
Puedes extender un analizador personalizado o compilado previamente si defines las instrucciones de asignación personalizadas para extraer datos adicionales de un registro original sin procesar. Puedes insertar los datos en el registro UDM que genera un analizador personalizado. No puedes crear un analizador nuevo con extensiones de analizador.
Para obtener información sobre cómo crear extensiones de analizadores, consulta Cómo usar extensiones de analizadores.
Cómo revertir una actualización temprana de un analizador precompilado
Si aceptaste anticipadamente la actualización del analizador, puedes volver a la versión anterior en un período de 15 días. Para volver a la versión anterior del analizador, haz lo siguiente: sigue estos pasos:
En el menú de la aplicación
, selecciona Configuración > Análisis.Haz clic en
Menu junto al analizador. que quieres revertir.Haz clic en Ver.
Aparecerá la página Ver analizador compilado previamente.
Haz clic en Volver a la versión anterior.
Aparecerá el diálogo Revert to previous. Puedes hacer clic en Comparar analizadores. en el diálogo para ver la diferencia entre la versión actual y la anterior.
Haz clic en Confirmar para revertir el analizador a su versión anterior.
El analizador vuelve a su versión anterior después de 20 minutos.
Controla el acceso a la administración de analizadores
De forma predeterminada, los usuarios con los roles de Administrador y Editor pueden administrar las actualizaciones del analizador. Se pueden otorgar nuevos permisos para controlar quién puede ver y administrar las actualizaciones del analizador. Para obtener más información sobre cómo administrar usuarios y grupos, o cómo asignar roles, consulta la guía del usuario de control de acceso basado en roles.