Gérer les analyseurs prédéfinis et personnalisés
Ce document explique comment : Ce document explique comment:
- Créez et gérez des analyseurs personnalisés.
- Bénéficiez d'un accès anticipé aux prochaines mises à jour des analyseurs prédéfinis lancées par Google Security Operations.
- Étendez les instructions de mappage en créant une extension d'analyseur pour un analyseur prédéfini ou personnalisé.
- Contrôler l'accès à la gestion de l'analyseur
- Créez et gérez des analyseurs personnalisés.
- Bénéficiez d'un accès anticipé aux prochaines mises à jour des analyseurs prédéfinis lancées par Google Security Operations.
- Étendez les instructions de mappage en créant une extension d'analyseur pour un analyseur prédéfini ou personnalisé.
- Contrôler l'accès à la gestion de l'analyseur
Types de analyseurs : Types d'analyseurs:
les données de journal d'origine dans les champs [UDM](/chronicle/docs/event-processing/udm-overview).| Type d'analyseur | Description |
|---|---|
| Prédéfini | Analyseurs créés par Google Security Operations et contenant des instructions de mappage de données intégrées pour transformer les données de journal d'origine en champs [UDM](/chronicle/docs/event-processing/udm-overview). |
| Moteur de jeu prédéfini étendu | Un analyseur prédéfini créé par les clients avec des instructions de mappage supplémentaires pour extraire des données supplémentaires d'un journal brut d'origine et les insérer dans l'enregistrement UDM. |
| Personnalisé | Analyseurs créés par les clients avec des instructions de mappage de données personnalisées pour transformer les données de journal d'origine en champs UDM. |
| Extension personnalisée | Un analyseur personnalisé créé par les clients avec des instructions de mappage supplémentaires à l'aide d'une extension d'analyseur pour extraire des données supplémentaires d'un journal brut d'origine et les insérer dans l'enregistrement UDM. |
Gérer les mises à jour des analyseurs prédéfinis
Gérer les mises à jour des analyseurs prédéfinis
Google Security Operations met généralement à jour ses analyseurs prédéfinis au cours de la quatrième semaine de chaque mois. Ces mises à jour sont d'abord disponibles pour les clients en accès anticipé et à des fins de test. Lorsque les mises à jour à venir de l'analyseur sont disponibles, elles sont marquées comme En attente dans la liste des analyseurs. Vous pouvez examiner la différence entre les versions antérieures et les versions plus récentes de l'analyseur, ou activer la mise à jour de l'analyseur plus tôt pour le tester, ou ignorer la mise à jour et créer un analyseur personnalisé. Google Security Operations met généralement à jour ses analyseurs prédéfinis au cours de la quatrième semaine de chaque mois. Ces mises à jour sont d'abord disponibles pour les clients en accès anticipé et à des fins de test. Lorsque les mises à jour à venir de l'analyseur sont disponibles, elles sont marquées comme En attente dans la liste des analyseurs. Vous pouvez examiner la différence entre les versions antérieures et les versions plus récentes de l'analyseur, ou activer la mise à jour de l'analyseur plus tôt pour le tester, ou ignorer la mise à jour et créer un analyseur personnalisé.
Pour afficher les mises à jour en attente, procédez comme suit:
Connectez-vous à votre instance Google Security Operations.
Dans le menu de l'application , sélectionnez Settings (Paramètres) > Parsers (Analyseurs).
Cliquez sur Filtrer.
Sélectionnez Prédéfini, Actif et Prédéfini étendu dans la liste.
Une liste des analyseurs prédéfinis actifs (par défaut) s'affiche. Les prochaines mises à jour de l'analyseur sont marquées comme En attente dans la colonne Mise à jour.
Cliquez sur Menu, puis sélectionnez Afficher la mise à jour en attente dans la liste.
La page Comparer les analyseurs s'affiche. Vous pouvez y consulter les éléments suivants:
Différences de code entre la version actuelle et la prochaine version de l'analyseur.
Les journaux de modifications dans l'onglet Journals de modifications.
Événement UDM généré pour le journal brut échantillonné.
Date et heure de création de l'analyseur.
Date et heure de la dernière mise à jour du code de l'analyseur.
Vous pouvez activer la mise à jour de l'analyseur plus tôt, ignorer la mise à jour et créer un analyseur personnalisé, ou attendre que la mise à jour soit appliquée automatiquement au cours de la quatrième semaine du mois.
Activer la mise à jour de l'analyseur plus tôt
La fonctionnalité de gestion de l'analyseur vous permet d'activer la mise à jour de l'analyseur plus tôt. Par exemple, si vous souhaitez le tester.
Pour activer la mise à jour de l'analyseur plus tôt, procédez comme suit:
Sur la page Comparer les analyseurs, cliquez sur Activer la mise à jour de l'analyseur.
La boîte de dialogue Confirmer la mise à jour de l'analyseur s'affiche.
Cliquez sur Confirmer.
L'analyseur est activé pour le processus de normalisation au bout de 20 minutes.
Ignorer les mises à jour de l'analyseur prédéfini
Pour ignorer les mises à jour actuelles et futures de l'analyseur prédéfini, créez un analyseur personnalisé comme suit:
Sur la page Comparer les analyseurs, cliquez sur Ignorer la mise à jour.
La fenêtre Ignorer la mise à jour et créer un analyseur personnalisé s'affiche.
Cliquez sur Créer un analyseur personnalisé.
Pour le Type d'analyseur à utiliser, sélectionnez l'Analyseur prédéfini actuel ou la Mise à jour de l'analyseur en attente.
Cliquez sur Créer.
La version sélectionnée est activée pour le processus de normalisation au bout de 20 minutes. Il apparaît sous la forme Personnalisé et Actif dans la liste des analyseurs sur la page Analyseurs. La version prédéfinie précédente s'affiche sous la forme Prédéfini et Inactif.
Annuler une mise à jour anticipée de l'analyseur prédéfini
Si vous avez activé la mise à jour de l'analyseur plus tôt, vous pouvez toujours revenir à la version précédente jusqu'à la quatrième semaine du mois, date à laquelle la mise à jour est automatiquement activée.
Pour revenir à la version précédente de l'analyseur, procédez comme suit:
Dans le menu de l'application , sélectionnez Settings (Paramètres) > Parsers (Analyseurs).
Cliquez sur Menu à côté de l'analyseur que vous souhaitez annuler.
Cliquez sur Afficher.
La page Afficher l'analyseur prédéfini s'affiche.
Cliquez sur Rétablir la version précédente.
La boîte de dialogue Rétablir la précédente s'affiche. Vous pouvez cliquer sur Comparer les analyseurs dans la boîte de dialogue pour voir les différences entre la version actuelle et la version précédente.
Cliquez sur Confirm (Confirmer) pour rétablir la version précédente de l'analyseur.
La version précédente de l'analyseur est rétablie au bout de 20 minutes.
Analyseurs personnalisés
Google Security Operations vous permet de créer un analyseur personnalisé pour diverses raisons, par exemple:
- Créez un analyseur personnalisé pour un type de journal qui ne dispose pas d'un analyseur prédéfini. Créez un analyseur entièrement nouveau directement à partir du journal brut ou utilisez un analyseur existant comme base pour le nouvel analyseur personnalisé.
- Vous pouvez créer un analyseur personnalisé pour ignorer les mises à jour de l'analyseur prédéfini.
Les analyseurs personnalisés s'affichent dans la liste des analyseurs.
Créer un analyseur personnalisé basé sur des instructions de mappage
Vous pouvez créer un analyseur personnalisé en écrivant du code qui convertit le journal brut d'origine en enregistrement UDM. Pour en savoir plus sur la structure d'un analyseur, consultez Présentation de l'analyse des journaux et Documentation de référence sur la syntaxe de l'analyseur. Lorsque vous créez un analyseur, assurez-vous que les instructions de mappage des données renseignent autant de champs UDM importants que possible.
- Accédez à Paramètres du SIEM.
Accédez à Paramètres du SIEM.
Cliquez sur Créer un analyseur.
Sélectionnez une source de journal appropriée dans la liste Source de journal.
Sélectionnez Start with Raw Logs Only (Commencer avec des journaux bruts uniquement) pour créer un analyseur en fonction de vos exigences.
Cliquez sur Créer.
Saisissez le code dans le terminal de code d'analyseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extrait de code.
Saisissez le code dans le terminal de code d'analyseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extrait de code.
Facultatif: Cliquez sur pour modifier le journal brut existant ou la copie.
Facultatif: cliquez sur pour charger le dernier journal brut.
Cliquez sur Aperçu pour afficher la sortie de l'UDM. Un message d'erreur s'affiche si le code est incorrect.
Dans l'aperçu, vous pouvez utiliser le plug-in de filtre statedump pour valider l'état interne d'un analyseur. Pour en savoir plus, consultez la section Valider les données à l'aide du plug-in statedump.
Cliquez sur Valider pour valider l'analyseur personnalisé.
Le processus de validation peut prendre quelques minutes. Nous vous recommandons donc de prévisualiser l'analyseur personnalisé, d'apporter des modifications si nécessaire, puis de le valider.
Cliquez sur Envoyer.
L'analyseur est activé pour le processus de normalisation au bout de 20 minutes. L'analyseur est activé pour le processus de normalisation au bout de 20 minutes.
Créer un analyseur personnalisé à partir d'un analyseur existant
Créer un analyseur personnalisé à partir d'un analyseur existant
Vous pouvez utiliser un analyseur existant comme modèle pour créer un autre analyseur. Vous ne pouvez créer un analyseur personnalisé qu'à l'aide de l'approche par code. Pour créer un analyseur personnalisé à partir d'un analyseur existant, procédez comme suit:
Dans le menu de l'application , sélectionnez Settings (Paramètres) > Parsers (Analyseurs).
Cliquez sur Créer un analyseur.
Sélectionnez une source de journal appropriée dans la liste Source de journal.
Sélectionnez Commencer avec un analyseur prédéfini existant pour utiliser un analyseur existant comme base pour créer un analyseur personnalisé.
Cliquez sur Créer.
Modifiez le code dans le terminal du code d'analyseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extrait de code.
Facultatif: Cliquez sur pour modifier le journal brut.
Facultatif: Cliquez sur pour actualiser le journal brut.
Lorsque vous ajoutez du code pour créer l'analyseur, cliquez sur Preview (Aperçu) pour afficher la sortie de l'UDM. Un message d'erreur s'affiche si le code est incorrect.
Dans l'aperçu, vous pouvez utiliser le plug-in de filtre statedump pour valider l'état interne d'un analyseur. Pour en savoir plus, consultez la section Valider les données à l'aide du plug-in statedump.
Cliquez sur Valider pour valider l'analyseur personnalisé.
Le processus de validation peut prendre quelques minutes. Nous vous recommandons donc de prévisualiser l'analyseur personnalisé, d'apporter des modifications si nécessaire, puis de le valider.
Cliquez sur Envoyer.
L'analyseur est activé pour le processus de normalisation au bout de 20 minutes. L'analyseur est activé pour le processus de normalisation au bout de 20 minutes.
Désactiver un analyseur personnalisé
Dans le menu de l'application , sélectionnez Settings (Paramètres) > Parsers (Analyseurs).
Cliquez sur Menu à côté de l'analyseur que vous souhaitez désactiver, puis sélectionnez Désactiver dans la liste.
La boîte de dialogue Désactiver l'analyseur s'affiche.
Cliquez sur Désactiver.
L'analyseur personnalisé est désactivé et la version actuelle de l'analyseur prédéfini est activée au bout de 20 minutes. L'analyseur prédéfini devient désormais l'analyseur par défaut. L'analyseur personnalisé est désactivé et la version actuelle de l'analyseur prédéfini est activée au bout de 20 minutes. L'analyseur prédéfini devient désormais l'analyseur par défaut.
Supprimer un analyseur personnalisé
Dans le menu de l'application , sélectionnez Settings (Paramètres) > Parsers (Analyseurs).
Cliquez sur Menu à côté de l'analyseur personnalisé que vous souhaitez supprimer, puis sélectionnez Delete (Supprimer) dans la liste. Remarque: Vous ne pouvez pas supprimer un analyseur prédéfini.
Cliquez sur Menu à côté de l'analyseur personnalisé que vous souhaitez supprimer, puis sélectionnez Delete (Supprimer) dans la liste. Remarque: Vous ne pouvez pas supprimer un analyseur prédéfini.
La boîte de dialogue Supprimer l'analyseur personnalisé s'affiche.
Cliquez sur Supprimer.
L'analyseur personnalisé est supprimé et la version actuelle de l'analyseur prédéfini est activée au bout de 20 minutes. L'analyseur personnalisé est supprimé et la version actuelle de l'analyseur prédéfini est activée au bout de 20 minutes.
Créer une extension
Les extensions d'analyseur offrent un moyen flexible d'étendre les fonctionnalités des analyseurs prédéfinis (par défaut) et des analyseurs personnalisés existants. Ils ne remplacent pas les analyseurs prédéfinis ou personnalisés. Ils permettent plutôt d'extraire facilement des champs supplémentaires du journal brut d'origine dans l'enregistrement UDM. Une extension d'analyseur est différente d'un analyseur personnalisé. Pour créer une extension d'analyseur, consultez la section Utiliser des extensions d'analyseur. Les extensions d'analyseur offrent un moyen flexible d'étendre les fonctionnalités des analyseurs prédéfinis (par défaut) et des analyseurs personnalisés existants. Ils ne remplacent pas les analyseurs prédéfinis ou personnalisés. Ils permettent plutôt d'extraire facilement des champs supplémentaires du journal brut d'origine dans l'enregistrement UDM. Une extension d'analyseur est différente d'un analyseur personnalisé. Pour créer une extension d'analyseur, consultez la section Utiliser des extensions d'analyseur.
Contrôler l'accès à la gestion des analyseurs
Par défaut, les utilisateurs disposant des rôles Administrateur et Éditeur peuvent gérer les mises à jour de l'analyseur. Vous pouvez accorder de nouvelles autorisations pour contrôler qui peut consulter et gérer ces mises à jour. Pour en savoir plus sur la gestion des utilisateurs et des groupes, ou sur l'attribution de rôles, consultez le guide de l'utilisateur du contrôle des accès basé sur les rôles.