Gestire i parser predefiniti e personalizzati
Questo documento descrive come utilizzare la funzionalità di gestione dei parser per creare parser personalizzati o attivare o disattivare gli aggiornamenti dei parser predefiniti avviati da Google Security Operations.
Le modifiche ai parser predefiniti vengono rilasciate con cadenza regolare man mano che le versioni sono candidati. Durante il periodo di release candidate, puoi scegliere di aggiornare uno o più analizzatori con le modifiche in attesa. Ogni 4 settimane, gli aggiornamenti in attesa vengono attivati automaticamente quando le modifiche al parser in attesa vengono promosse come predefinite. La quantità di tempo La valutazione di una modifica dipende dalla data di rilascio della modifica durante finestra candidato di rilascio.
La funzionalità di gestione dell'analizzatore ti consente di ispezionare e testare l'aggiornamento durante il periodo di selezione della release candidate. Puoi visualizzare un elenco delle modifiche passate a un parser predefinito e anche le modifiche imminenti nella cadenza delle release. Potrai quindi attivare o disattivare l'aggiornamento.
Google Security Operations ti offre anche la flessibilità di creare un parser personalizzato per un tipo di log che non dispone di un parser predefinito. Puoi creare un nuovo parser direttamente dal log non elaborato o utilizzare un parser esistente come base per un nuovo parser personalizzato. Puoi estendere le istruzioni di mappatura creando un'estensione del parser per un parser predefinito o personalizzato.
Di seguito sono riportati i vari tipi di parser:
| Tipo di parser | Descrizione |
|---|---|
| Predefinito | Analizzatori creati da Google Security Operations e contenenti istruzioni di mappatura dei dati integrate per trasformare i dati dei log originali in campi UDM. |
| Predefinito esteso | Un parser predefinito creato dai clienti con istruzioni di mappatura aggiuntive per estrarre ulteriori informazioni i dati di un log originale non elaborato e inserirli nel record UDM. |
| Personalizzato | Analizzatori creati dai clienti con istruzioni di mappatura dei dati personalizzate per la trasformazione i dati di log originali nei campi UDM. |
| Estensione personalizzata | Un parser personalizzato creato dai clienti con istruzioni di mappatura aggiuntive che utilizza un'estensione del parser per estrarre dati aggiuntivi da un log non elaborato originale e inserirli nel record UDM. |
Prima di iniziare
I seguenti documenti spiegano i concetti relativi ai prerequisiti importanti per gestione degli aggiornamenti dei parser:
Crea un parser personalizzato basato sulle istruzioni di mappatura
Puoi creare un parser personalizzato scrivendo un codice che converte il testo non elaborato originale in un record UDM. Per la struttura di un parser, consulta la Panoramica dell'analisi dei log e il Riferimento alla sintassi del parser per informazioni sulla sintassi. Quando crei un parser, assicurati che il mapping dei dati compilano il maggior numero possibile di campi UDM importanti.
Nella barra di navigazione, seleziona Impostazioni > Impostazioni SIEM.
Fai clic su Crea analizzatore.
Seleziona una sorgente log appropriata dall'elenco Sorgente log.
Seleziona Inizia con solo log non elaborati per creare un nuovo parser in base ai tuoi requisiti.
Fai clic su Crea.
Digita il codice nel terminal del codice del parser. Per ulteriori informazioni, vedi Creare un'istruzione di mappatura di snippet di codice.
(Facoltativo) Fai clic su per modificare il log non elaborato o la copia esistente.
(Facoltativo) Fai clic su per caricare l'ultimo log non elaborato.
Fai clic su Anteprima per visualizzare l'output UDM. Se il codice non è corretto, viene visualizzato un messaggio di errore.
Nell'anteprima, puoi utilizzare il plug-in del filtro statedump per convalidare il numero lo stato di un parser. Per ulteriori informazioni, consulta Convalidare i dati utilizzando il plug-in statedump.
Fai clic su Convalida per convalidare l'analizzatore personalizzato.
La procedura di convalida può richiedere alcuni minuti, pertanto ti consigliamo di visualizzare prima l'anteprima del parser personalizzato, apportare le modifiche necessarie e poi convalidarlo.
Fai clic su Invia.
L'analizzatore viene scelto per la normalizzazione dopo 20 minuti.
Creare un parser personalizzato da un parser esistente
Puoi utilizzare un parser esistente come modello per creare un nuovo parser. Puoi creare un parser personalizzato utilizzando solo l'approccio basato su codice. Per creare un parser personalizzato da un parser esistente:
Dal menu dell'applicazione , seleziona Impostazioni > Analizzatori.
Fai clic su Crea parser.
Seleziona una sorgente log appropriata dall'elenco Sorgente log.
Seleziona Inizia con un parser predefinito esistente per utilizzare un parser esistente come base per creare un nuovo parser personalizzato.
Fai clic su Crea.
Modifica il codice nel Parser Code Terminal. Per ulteriori informazioni, vedi Creare un'istruzione di mappatura di snippet di codice.
(Facoltativo) Fai clic su per modificare il log non elaborato.
(Facoltativo) Fai clic su per aggiornare il log non elaborato.
Man mano che aggiungi codice per creare il parser, fai clic su Anteprima per visualizzare l'output UDM. Se il codice non è corretto, viene visualizzato un messaggio di errore.
Nell'anteprima, puoi utilizzare il plug-in del filtro statedump per convalidare il numero lo stato di un parser. Per ulteriori informazioni, consulta Convalidare i dati utilizzando il plug-in statedump.
Fai clic su Convalida per convalidare il parser personalizzato.
La procedura di convalida può richiedere alcuni minuti, pertanto ti consigliamo di visualizzare prima l'anteprima dell'analizzatore personalizzato, apportare le modifiche necessarie e poi convalidarlo.
Fai clic su Invia.
Il parser viene selezionato per la normalizzazione dopo 20 minuti.
Gestire gli aggiornamenti degli analizzatori predefiniti
Quando Google Security Operations rilascia un aggiornamento di un parser, gli aggiornamenti sono in attesa per 15 giorni. Per attivare o disattivare un aggiornamento del parser, esamina la differenza tra la versione precedente e quella più recente dei parser nel seguente modo:
Accedi alla tua istanza di Google Security Operations.
Dal menu dell'applicazione , seleziona Impostazioni > Analizzatori.
Fai clic su Filtra.
Seleziona Precompilato, Attivo e Predefinito esteso dall'elenco.
Vengono visualizzati i parser predefiniti attivi. I parser predefiniti sono parser rilasciati da Google Security Operations. Se la colonna Aggiornamento contiene In attesa come stato, indica che il parser ha un aggiornamento che puoi ispezionare.
Fai clic su Menu e seleziona Visualizza l'aggiornamento in attesa dall'elenco.
Viene visualizzata la pagina Confronta analizzatori. Qui puoi visualizzare quanto segue:
La differenza di codice tra la versione attuale e quella futura dell'analizzatore
Log delle modifiche nella scheda Log delle modifiche
L'evento UDM generato per il log non elaborato campionato
La data e l'ora di creazione dell'analizzatore
La data e l'ora dell'ultimo aggiornamento del codice dell'analizzatore
Puoi attivare l'aggiornamento in anteprima, attendere che venga applicato automaticamente tra 15 giorni o disattivarlo.
Attivare in anteprima gli aggiornamenti del parser
La funzionalità di gestione del parser ti consente di attivare in anteprima un aggiornamento del parser e di testarlo. Puoi attivare in anteprima gli aggiornamenti del parser solo se utilizzi un parser predefinito. Una volta attivata la funzionalità in anteprima, puoi ripristinare la versione precedente del parser entro 15 giorni dalla release dell'aggiornamento. Per attivare l'aggiornamento in anticipo, segui questi passaggi:
Nella pagina Confronta i parser, fai clic su Attiva l'aggiornamento dei parser.
Viene visualizzata la finestra di dialogo Conferma aggiornamento del parser.
Fai clic su Conferma.
Il parser viene selezionato per la normalizzazione dopo 20 minuti.
Disattivare gli aggiornamenti del parser
Per disattivare gli aggiornamenti attuali e futuri del parser, crea un parser personalizzato. Tu puoi utilizzare la versione corrente o la versione aggiornata dell'analizzatore sintattico come parser personalizzato. Tutti gli aggiornamenti futuri a un parser personalizzato saranno visibili, ma non verranno applicati se non li attivi. Per disattivare gli aggiornamenti attuali o futuri, segui questi passaggi:
Nella pagina Confronta i parser, fai clic su Salta aggiornamento.
Viene visualizzata la finestra Salta l'aggiornamento e crea parser personalizzato.
Fai clic su Crea parser personalizzato.
Per impostare la versione del parser predefinita come parser personalizzato, seleziona Parser precompilato. Per impostare la versione aggiornata come analizzatore personalizzato, seleziona Aggiornamento analizzatore in attesa.
Fai clic su Crea.
La versione selezionata viene scelta per la normalizzazione dopo 20 minuti. Viene visualizzato come Personalizzato e Attivo nell'elenco dei parser nella pagina Parser. Viene visualizzata la versione predefinita precedente come Predefinito e Non attivo.
Gestire gli aggiornamenti dei parser personalizzati
Se disattivi gli aggiornamenti predefiniti dei parser, viene creato un parser personalizzato. Un parser personalizzato è visibile nell'elenco dei parser come nuova voce.
Disattivare un parser personalizzato
Dal menu dell'applicazione , seleziona Impostazioni > Analizzatori.
Fai clic su Menu accanto al parser che vuoi disattivare e seleziona Disattiva dall'elenco.
Viene visualizzata la finestra di dialogo Rendi inattivo il parser.
Fai clic su Disattiva.
L'interprete personalizzato viene disattivato e la versione predefinita viene attivata dopo 20 minuti. In altre parole, l'analizzatore sintattico personalizzato diventa un analizzatore sintattico predefinito. Se hai creato un parser personalizzato da un parser predefinito con aggiornamenti, questi ultimi andranno persi quando ripristinerai il parser personalizzato a un parser predefinito. Devi riattivare gli aggiornamenti del parser.
Elimina un parser personalizzato
Nel menu dell'applicazione , seleziona Impostazioni > Parsatori.
Fai clic su Menu accanto al parser che vuoi eliminare e seleziona Elimina dall'elenco.
Viene visualizzata la finestra di dialogo Elimina analizzatore personalizzato.
Fai clic su Elimina.
Il parser personalizzato viene eliminato e la versione del parser predefinita viene attivata dopo 20 minuti. In altre parole, l'analizzatore sintattico personalizzato diventa un analizzatore sintattico predefinito. Se hai creato un parser personalizzato da un parser predefinito con aggiornamenti, questi vanno persi quando ripristini personalizzato in un parser predefinito. Devi attivare di nuovo gli aggiornamenti dei parser.
Creare un'estensione
Puoi estendere un parser personalizzato o predefinito definendo istruzioni di mappatura personalizzate per estrarre dati aggiuntivi da un log non elaborato originale. Puoi inserire i dati nel record UDM generato da un'analisi personalizzata. Non puoi creare un nuovo parser utilizzando le estensioni del parser.
Per informazioni sulla creazione di estensioni del parser, consulta Utilizzare le estensioni del parser.
Ripristinare un aggiornamento precedente di un parser predefinito
Se hai attivato in anticipo un aggiornamento del parser, puoi ripristinare la precedente all'interno della finestra di 15 giorni. Per tornare alla versione precedente del parser: segui questi passaggi:
Dal menu dell'applicazione , seleziona Impostazioni > Analizzatori.
Fai clic su Menu accanto al parser per cui vuoi ripristinare la versione precedente.
Fai clic su Visualizza.
Viene visualizzata la pagina Visualizza l'analizzatore sintattico predefinito.
Fai clic su Ripristina la versione precedente.
Viene visualizzata la finestra di dialogo Ripristina precedente. Puoi fare clic su Confronta i parser nella finestra di dialogo per vedere la differenza tra la versione corrente e quella precedente.
Fai clic su Conferma per ripristinare la versione precedente del parser.
Dopo 20 minuti, il parser viene ripristinato alla versione precedente.
Controlla l'accesso alla gestione dei parser
Per impostazione predefinita, gli aggiornamenti del parser possono essere gestiti dagli utenti con i ruoli Amministratore e Editor. È possibile concedere nuove autorizzazioni per controllare chi può visualizzare e gestire nuovi aggiornamenti dei parser. Per ulteriori informazioni sulla gestione di utenti e gruppi o sull'assegnazione dei ruoli, consulta la guida utente del controllo degli accessi basato sui ruoli.