Gestire gli analizzatori predefiniti e personalizzati

Questo documento descrive come utilizzare la funzionalità di gestione dei parser per creare parser personalizzati o attivare o disattivare gli aggiornamenti dei parser predefiniti avviati da Google Security Operations.

Le modifiche ai parser predefiniti vengono rilasciate con cadenza regolare come release candidate. Durante il periodo di release candidate, puoi scegliere di aggiornare uno o più analizzatori con le modifiche in attesa. Ogni 4 settimane, gli aggiornamenti in attesa vengono attivati automaticamente quando le modifiche del parser in attesa vengono promosse come predefinite. Il tempo necessario per valutare una modifica dipende da quando è stata rilasciata durante la finestra di rilascio candidata.

La funzionalità di gestione dell'analizzatore ti consente di ispezionare e testare l'aggiornamento durante il periodo di selezione della release candidate. Puoi visualizzare un elenco delle modifiche passate a un parser predefinito e anche le modifiche imminenti nella cadenza delle release. Potrai quindi attivare o disattivare l'aggiornamento.

Google Security Operations ti offre anche la flessibilità di creare un parser personalizzato per un tipo di log che non dispone di un parser predefinito. Puoi creare un nuovo parser direttamente dal log non elaborato o utilizzare un parser esistente come base per un nuovo parser personalizzato. Puoi estendere le istruzioni di mappatura creando un'estensione del parser per un parser predefinito o personalizzato.

I vari tipi di analizzatori sono i seguenti:

Tipo di parser	Descrizione
Predefinito	Analizzatori creati da Google Security Operations e contenenti istruzioni di mappatura dei dati integrate per trasformare i dati dei log originali in campi UDM.
Predefinito esteso	Un parser predefinito creato dai clienti con istruzioni di mappatura aggiuntive per estrarre ulteriori dati da un log non elaborato originale e inserirli nel record UDM.
Personalizzato	Analizzatori sintattici creati dai clienti con istruzioni di mappatura dei dati personalizzate per trasformare i dati dei log originali in campi UDM.
Personalizzato esteso	Un parser personalizzato creato dai clienti con istruzioni di mappatura aggiuntive che utilizza un'estensione del parser per estrarre dati aggiuntivi da un log non elaborato originale e inserirli nel record UDM.

Prima di iniziare

I seguenti documenti spiegano i concetti di prerequisiti importanti per gestire gli aggiornamenti dei parser:

• Panoramica del modello di dati unificato
• Panoramica dell'analisi dei log

Crea un parser personalizzato in base alle istruzioni di mappatura

Puoi creare un parser personalizzato scrivendo codice che converta il log grezzo originale in un record UDM. Per la struttura di un parser, consulta la Panoramica dell'analisi dei log e il Riferimento alla sintassi del parser per informazioni sulla sintassi. Quando crei un parser, assicurati che le istruzioni di mappatura dei dati completino il maggior numero possibile di campi UDM importanti.

1. Nella barra di navigazione, seleziona Impostazioni > Impostazioni SIEM.

2. Fai clic su Crea analizzatore.

3. Seleziona una sorgente log appropriata dall'elenco Sorgente log.

4. Seleziona Inizia solo con i log non elaborati per creare un nuovo parser in base alle tue esigenze.

5. Fai clic su Crea.

6. Digita il codice nel terminal del codice del parser. Per ulteriori informazioni, vedi Creare un'istruzione di mappatura di snippet di codice.

7. (Facoltativo) Fai clic su edit per modificare il log non elaborato o la copia esistente.

8. (Facoltativo) Fai clic su refresh per caricare il log non elaborato più recente.

9. Fai clic su Anteprima per visualizzare l'output di UDM. Se il codice non è corretto, viene visualizzato un messaggio di errore.

   Nell'anteprima, puoi utilizzare il plug-in del filtro statedump per convalidare lo stato interno di un parser. Per ulteriori informazioni, consulta Convalidare i dati utilizzando il plug-in statedump.

10. Fai clic su Convalida per convalidare l'analizzatore personalizzato.

    La procedura di convalida può richiedere alcuni minuti, pertanto ti consigliamo di visualizzare prima l'anteprima del parser personalizzato, apportare le modifiche necessarie e poi convalidarlo.

11. Fai clic su Invia.

    L'analizzatore viene scelto per la normalizzazione dopo 20 minuti.

Creare un parser personalizzato da un parser esistente

Puoi utilizzare un parser esistente come modello per crearne uno nuovo. Puoi creare un parser personalizzato solo utilizzando l'approccio di codice. Per creare un parser personalizzato da un parser esistente:

1. Nel menu dell'applicazione apps, seleziona Impostazioni > Parsatori.

2. Fai clic su Crea analizzatore.

3. Seleziona una sorgente log appropriata dall'elenco Sorgente log.

4. Seleziona Inizia con un analizzatore sintattico precompilato esistente per utilizzare un analizzatore sintattico esistente come base per creare un nuovo analizzatore sintattico personalizzato.

5. Fai clic su Crea.

6. Modifica il codice nel terminale del codice del parser. Per ulteriori informazioni, vedi Creare un'istruzione di mappatura di snippet di codice.

7. (Facoltativo) Fai clic su edit per modificare il log non elaborato.

8. (Facoltativo) Fai clic su refresh per aggiornare il log non elaborato.

9. Man mano che aggiungi il codice per creare il parser, fai clic su Anteprima per visualizzare l'output UDM. Se il codice non è corretto, viene visualizzato un messaggio di errore.

   Nell'anteprima, puoi utilizzare il plug-in del filtro statedump per convalidare lo stato interno di un parser. Per ulteriori informazioni, consulta Convalidare i dati utilizzando il plug-in statedump.

10. Fai clic su Convalida per convalidare l'analizzatore personalizzato.

    La procedura di convalida può richiedere alcuni minuti, pertanto ti consigliamo di visualizzare prima l'anteprima dell'analizzatore personalizzato, apportare le modifiche necessarie e poi convalidarlo.

11. Fai clic su Invia.

    L'analizzatore viene scelto per la normalizzazione dopo 20 minuti.

Gestire gli aggiornamenti degli analizzatori predefiniti

Quando Google Security Operations rilascia un aggiornamento a un parser, gli aggiornamenti rimangono in stato pending per 15 giorni. Per attivare o disattivare un aggiornamento del parser, esamina la differenza tra le versioni precedenti e quelle più recenti del parser nel seguente modo:

1. Accedi alla tua istanza Google Security Operations.

2. Nel menu dell'applicazione apps, seleziona Impostazioni > Parsatori.

3. Fai clic su filter_alt Filtra.

4. Seleziona Predefinito, Attivo e Predefinito esteso dall'elenco.

   Vengono visualizzati gli analizzatori predefiniti attivi. I parser predefiniti sono quelli rilasciati da Google Security Operations. Se la colonna Aggiornamento contiene In attesa come stato, indica che il parser ha un aggiornamento che puoi ispezionare.

5. Fai clic su more_vert Menu e seleziona Visualizza aggiornamento in attesa dall'elenco.

   Viene visualizzata la pagina Confronta analizzatori. Qui puoi visualizzare quanto segue:

   • La differenza di codice tra la versione attuale e quella futura dell'analizzatore

   • I log delle modifiche nella scheda Log delle modifiche

   • L'evento UDM generato per il log non elaborato campionato

   • La data e l'ora di creazione dell'analizzatore

   • La data e l'ora dell'ultimo aggiornamento del codice dell'analizzatore

   Puoi attivare l'aggiornamento in anteprima, attendere che venga applicato automaticamente tra 15 giorni o disattivarlo.

Attivare in anteprima gli aggiornamenti del parser

La funzionalità di gestione del parser ti consente di attivare in anteprima un aggiornamento del parser e di testarlo. Puoi attivare in anteprima gli aggiornamenti del parser solo se utilizzi un parser predefinito. Una volta attivata la funzionalità in anteprima, puoi ripristinare la versione precedente del parser entro 15 giorni dalla release dell'aggiornamento. Per partecipare in anteprima all'aggiornamento, segui questi passaggi:

1. Nella pagina Confronta gli analizzatori, fai clic su Attiva l'aggiornamento dell'analizzatore.

   Viene visualizzata la finestra di dialogo Conferma aggiornamento dell'analizzatore.

2. Fai clic su Conferma.

   Il parser viene scelto per la normalizzazione dopo 20 minuti.

Disattivare gli aggiornamenti del parser

Per disattivare gli aggiornamenti attuali e futuri del parser, crea un parser personalizzato. Puoi utilizzare la versione corrente o aggiornata dell'analizzatore come analizzatore personalizzato. Tutti gli aggiornamenti futuri di un parser personalizzato saranno visibili, ma non verranno applicati se non li attivi. Per disattivare gli aggiornamenti attuali o futuri, segui questi passaggi:

1. Nella pagina Confronta analizzatori, fai clic su Salta aggiornamento.

   Viene visualizzata la finestra Salta l'aggiornamento e crea un parser personalizzato.

2. Fai clic su Crea parser personalizzato.

3. Per impostare la versione del parser predefinita come parser personalizzato, seleziona Parser precompilato. Per impostare la versione aggiornata come analizzatore personalizzato, seleziona Aggiornamento analizzatore in attesa.

4. Fai clic su Crea.

   La versione selezionata viene scelta per la normalizzazione dopo 20 minuti. Viene visualizzato come Personalizzato e Attivo nell'elenco dei parser nella pagina Parser. La versione predefinita precedente viene visualizzata come Predefinita e Non attiva.

Gestire gli aggiornamenti degli analizzatori personalizzati

Quando disattivi gli aggiornamenti del parser predefinito, viene creato un parser personalizzato. Un parser personalizzato è visibile nell'elenco dei parser come nuova voce.

Disattivare un parser personalizzato

1. Nel menu dell'applicazione apps, seleziona Impostazioni > Parser.

2. Fai clic su more_vert Menu accanto al parser che vuoi disattivare e seleziona Disattiva dall'elenco.

   Viene visualizzata la finestra di dialogo Rendi inattivo l'analizzatore.

3. Fai clic su Rendi inattivo.

L'analizzatore personalizzato viene disattivato e la versione predefinita viene attivata dopo 20 minuti. In altre parole, l'analizzatore sintattico personalizzato diventa un analizzatore sintattico predefinito. Se hai creato un parser personalizzato da un parser predefinito con aggiornamenti, questi ultimi andranno persi quando ripristinerai il parser personalizzato a un parser predefinito. Devi riattivare gli aggiornamenti del parser.

Eliminare un parser personalizzato

1. Nel menu dell'applicazione apps, seleziona Impostazioni > Parser.

2. Fai clic su more_vert Menu accanto al parser che vuoi eliminare e seleziona Elimina dall'elenco.

   Viene visualizzata la finestra di dialogo Elimina analizzatore personalizzato.

3. Fai clic su Elimina.

Il parser personalizzato viene eliminato e la versione del parser predefinita viene attivata dopo 20 minuti. In altre parole, l'analizzatore sintattico personalizzato diventa un analizzatore sintattico predefinito. Se hai creato un parser personalizzato da un parser predefinito con aggiornamenti, questi ultimi andranno persi quando ripristinerai il parser personalizzato a un parser predefinito. Devi riattivare gli aggiornamenti del parser.

Creare un'estensione

Puoi estendere un parser personalizzato o predefinito definendo istruzioni di mappatura personalizzate per estrarre dati aggiuntivi da un log non elaborato originale. Puoi inserire i dati nel record UDM generato da un'analisi personalizzata. Non puoi creare un nuovo parser utilizzando le estensioni del parser.

Per informazioni sulla creazione di estensioni del parser, consulta Utilizzare le estensioni del parser.

Ripristinare un aggiornamento precedente di un parser predefinito

Se hai attivato in anteprima un aggiornamento del parser, puoi ripristinare la versione precedente nel periodo di 15 giorni. Per tornare alla versione precedente dell'analizzatore, segui questi passaggi:

1. Nel menu dell'applicazione apps, seleziona Impostazioni > Parser.

2. Fai clic su more_vert Menu accanto al parser per cui vuoi ripristinare la versione precedente.

3. Fai clic su Visualizza.

   Viene visualizzata la pagina Visualizza l'analizzatore sintattico predefinito.

4. Fai clic su Ripristina la versione precedente.

   Viene visualizzata la finestra di dialogo Ripristina precedente. Puoi fare clic su Confronta analizzatori nella finestra di dialogo per vedere la differenza tra la versione corrente e quella precedente.

5. Fai clic su Conferma per ripristinare la versione precedente dell'analizzatore.

   Dopo 20 minuti, il parser viene ripristinato alla versione precedente.

Controllare l'accesso alla gestione del parser

Per impostazione predefinita, gli aggiornamenti del parser possono essere gestiti dagli utenti con i ruoli Amministratore e Editor. È possibile concedere nuove autorizzazioni per controllare chi può visualizzare e gestire gli aggiornamenti del parser. Per ulteriori informazioni sulla gestione di utenti e gruppi o sull'assegnazione dei ruoli, consulta la guida utente controllo dell'accesso basato sui ruoli.