Vordefinierte und benutzerdefinierte Parser verwalten
In diesem Dokument wird Folgendes beschrieben: In diesem Dokument wird Folgendes beschrieben:
- Benutzerdefinierte Parser erstellen und verwalten
- Sie erhalten frühzeitig Zugriff auf anstehende vorkonfigurierte Parser-Updates, die von Google Security Operations initiiert werden.
- Erweitern Sie die Zuordnungsanleitung, indem Sie eine Parsererweiterung für einen vordefinierten oder benutzerdefinierten Parser erstellen.
- Zugriff auf die Parserverwaltung steuern
- Benutzerdefinierte Parser erstellen und verwalten
- Sie erhalten frühzeitig Zugriff auf anstehende vorkonfigurierte Parser-Updates, die von Google Security Operations initiiert werden.
- Erweitern Sie die Zuordnungsanleitung, indem Sie eine Parsererweiterung für einen vordefinierten oder benutzerdefinierten Parser erstellen.
- Zugriff auf die Parserverwaltung steuern
Arten von Parsern: Arten von Parsern:
Protokolldaten in [UDM](/chronicle/docs/event-processing/udm-overview)-Felder.| Parsertyp | Beschreibung |
|---|---|
| Vordefiniert | Parser, die von Google Security Operations erstellt werden und integrierte Anweisungen zur Datenzuordnung für die Umwandlung der ursprünglichen Protokolldaten in [UDM-Felder](/chronicle/docs/event-processing/udm-overview) enthalten. |
| Vordefiniert (erweitert) | Ein vordefinierter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen erstellt wurde, um zusätzliche Daten aus einem ursprünglichen Rohprotokoll zu extrahieren und in den UDM-Eintrag einzufügen. |
| Benutzerdefiniert | Von Kunden erstellte Parser mit benutzerdefinierten Datenzuordnungsanweisungen zur Umwandlung der ursprünglichen Protokolldaten in UDM-Felder. |
| Benutzerdefiniert (erweitert) | Ein benutzerdefinierter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen erstellt wurde, wobei eine Parsererweiterung verwendet wird, um zusätzliche Daten aus einem ursprünglichen Rohprotokoll zu extrahieren und in den UDM-Eintrag einzufügen. |
Vorab erstellte Parser-Updates verwalten
Vorab erstellte Parser-Updates verwalten
Die vordefinierten Parser von Google Security Operations werden in der Regel in der vierten Woche jedes Monats aktualisiert. Diese Updates werden Kunden zuerst für den Early Access und zum Testen zur Verfügung gestellt. Sobald anstehende Parser-Updates verfügbar sind, werden sie in der Parserliste als Ausstehend gekennzeichnet. Sie können den Unterschied zwischen der älteren und der neueren Parserversion untersuchen, die Parseraktualisierung frühzeitig aktivieren, um sie zu testen, oder das Update überspringen und einen benutzerdefinierten Parser erstellen. Die vordefinierten Parser von Google Security Operations werden in der Regel in der vierten Woche jedes Monats aktualisiert. Diese Updates werden Kunden zuerst für den Early Access und zum Testen zur Verfügung gestellt. Sobald anstehende Parser-Updates verfügbar sind, werden sie in der Parserliste als Ausstehend gekennzeichnet. Sie können den Unterschied zwischen der älteren und der neueren Parserversion untersuchen, die Parseraktualisierung frühzeitig aktivieren, um sie zu testen, oder das Update überspringen und einen benutzerdefinierten Parser erstellen.
So rufen Sie ausstehende Updates auf:
Melden Sie sich in Ihrer Google Security Operations-Instanz an.
Wählen Sie im Anwendungsmenü Einstellungen > Parser aus.
Klicken Sie auf Filtern.
Wählen Sie in der Liste Vordefiniert, Aktiv und Vordefiniert (erweitert) aus.
Eine Liste der aktiven (standardmäßigen) vordefinierten Parser wird angezeigt. Anstehende Parserupdates sind in der Spalte Update als Ausstehend gekennzeichnet.
Klicken Sie auf das Dreistrich-Menü und wählen Sie in der Liste Ausstehendes Update ansehen aus.
Die Seite Parser vergleichen wird angezeigt. Hier sehen Sie Folgendes:
Der Codeunterschied zwischen der aktuellen und der nächsten Parserversion.
Die Änderungsprotokolle auf dem Tab Änderungsprotokolle.
Das generierte UDM-Ereignis für das Stichproben-Nutzungsprotokoll.
Datum und Uhrzeit der Erstellung des Parsers.
Datum und Uhrzeit der letzten Aktualisierung des Parsercodes.
Sie können das Parser-Update entweder vorzeitig aktivieren, das Update überspringen und einen benutzerdefinierten Parser erstellen oder warten, bis das Update in der vierten Woche des Monats automatisch angewendet wird.
Parser-Aktualisierung frühzeitig aktivieren
Mit der Parserverwaltung können Sie die Parseraktualisierung frühzeitig aktivieren. Beispiel: Sie möchten es testen.
So aktivieren Sie das Parser-Update vorzeitig:
Klicken Sie auf der Seite Parser vergleichen auf Parser-Update aktivieren.
Das Dialogfeld Parseraktualisierung bestätigen wird angezeigt.
Klicken Sie auf Bestätigen.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Vorab erstellte Parser-Updates überspringen
Wenn Sie die aktuellen und zukünftigen Updates für vordefinierte Parser überspringen möchten, erstellen Sie einen benutzerdefinierten Parser. Gehen Sie dazu so vor:
Klicken Sie auf der Seite Parser vergleichen auf Aktualisierung überspringen.
Das Fenster Aktualisierung überspringen und benutzerdefinierten Parser erstellen wird angezeigt.
Klicken Sie auf Benutzerdefinierten Parser erstellen.
Wählen Sie als Typ des Parsers entweder den aktuellen vordefinierten Parser oder das ausstehende Parser-Update aus.
Klicken Sie auf Erstellen.
Die ausgewählte Version wird nach 20 Minuten für den Normalisierungsprozess aktiviert. Er wird in der Liste der Parser auf der Seite Parser als Benutzerdefiniert und Aktiv angezeigt. Die vorherige vorkonfigurierte Version wird als Vorkonfiguriert und Inaktiv angezeigt.
Früheres Update des vorkonfigurierten Parsers rückgängig machen
Wenn Sie das Parser-Update vorzeitig aktiviert haben, können Sie bis zur vierten Woche des Monats zur vorherigen Version zurückkehren. Dann wird das Update automatisch aktiviert.
So wechseln Sie zur vorherigen Parserversion zurück:
Wählen Sie im Dreipunkt-Menü Einstellungen > Parser aus.
Klicken Sie neben dem Parser, zu dem Sie zurückkehren möchten, auf das Dreipunkt-Menü.
Klicken Sie auf Ansehen.
Die Seite Vorab erstellten Parser ansehen wird angezeigt.
Klicken Sie auf Vorherige Version wiederherstellen.
Das Dialogfeld Zum vorherigen Schritt zurückkehren wird angezeigt. Klicken Sie im Dialogfeld auf Parser vergleichen, um den Unterschied zwischen der aktuellen und der vorherigen Version zu sehen.
Klicken Sie auf Bestätigen, um den Parser auf die vorherige Version zurückzusetzen.
Nach 20 Minuten wird der Parser auf die vorherige Version zurückgesetzt.
Benutzerdefinierte Parser
Google Security Operations bietet die Flexibilität, aus verschiedenen Gründen einen benutzerdefinierten Parser zu erstellen, z. B.:
- Erstellen Sie einen benutzerdefinierten Parser für einen Protokolltyp, für den kein vordefinierter Parser vorhanden ist. Sie können einen komplett neuen Parser direkt aus dem Rohprotokoll erstellen oder einen vorhandenen Parser als Grundlage für den neuen benutzerdefinierten Parser verwenden.
- Sie können einen benutzerdefinierten Parser erstellen, um vordefinierte Parserupdates zu überspringen.
Benutzerdefinierte Parser werden in der Parserliste angezeigt.
Benutzerdefinierten Parser anhand von Zuordnungsanweisungen erstellen
Sie können einen benutzerdefinierten Parser erstellen, indem Sie Code schreiben, der das ursprüngliche Rohprotokoll in einen UDM-Eintrag konvertiert. Informationen zur Struktur eines Parsers finden Sie unter Übersicht über das Log-Parsing und zur Syntax unter Referenz zur Parser-Syntax. Achten Sie beim Erstellen eines Parsers darauf, dass die Datenzuordnungsanweisungen so viele wichtige UDM-Felder wie möglich füllen.
- Gehen Sie zu den SIEM-Einstellungen.
Gehen Sie zu SIEM-Einstellungen.
Klicken Sie auf Parser erstellen.
Wählen Sie in der Liste Logquelle eine geeignete Logquelle aus.
Wählen Sie Nur mit Rohlogs beginnen aus, um einen neuen Parser gemäß Ihren Anforderungen zu erstellen.
Klicken Sie auf Erstellen.
Gib den Code in das Parser Code Terminal ein. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuordnung.
Gib den Code in das Parser Code Terminal ein. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuordnung.
Optional: Klicken Sie auf , um das vorhandene Rohprotokoll oder eine Kopie zu bearbeiten.
Optional: Klicken Sie auf , um das neueste Rohprotokoll zu laden.
Klicken Sie auf Vorschau, um die UDM-Ausgabe aufzurufen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.
In der Vorschau können Sie mit dem Filter-Plug-in „statedump“ den internen Status eines Parsers prüfen. Weitere Informationen finden Sie unter Daten mit dem Statedump-Plug-in validieren.
Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.
Die Validierung kann einige Minuten dauern. Wir empfehlen Ihnen daher, zuerst eine Vorschau des benutzerdefinierten Parsers anzusehen, bei Bedarf Änderungen vorzunehmen und ihn dann zu validieren.
Klicken Sie auf Senden.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert. Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Benutzerdefinierten Parser aus einem vorhandenen Parser erstellen
Benutzerdefinierten Parser aus einem vorhandenen Parser erstellen
Sie können einen vorhandenen Parser als Vorlage verwenden, um einen neuen zu erstellen. Sie können einen benutzerdefinierten Parser nur mithilfe des Codeansatzes erstellen. So erstellen Sie einen benutzerdefinierten Parser aus einem vorhandenen Parser:
Wählen Sie im Dreipunkt-Menü die Einstellungen > Parser aus.
Klicken Sie auf Parser erstellen.
Wählen Sie in der Liste Logquelle eine geeignete Logquelle aus.
Wählen Sie Mit einem vorhandenen vorkonfigurierten Parser beginnen aus, um einen vorhandenen Parser als Grundlage für einen neuen benutzerdefinierten Parser zu verwenden.
Klicken Sie auf Erstellen.
Bearbeiten Sie den Code im Parser Code Terminal. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuordnung.
Optional: Klicken Sie auf , um das Rohprotokoll zu bearbeiten.
Optional: Klicken Sie auf , um das Rohprotokoll zu aktualisieren.
Wenn Sie Code zum Erstellen des Parsers hinzufügen, klicken Sie auf Vorschau, um die UDM-Ausgabe aufzurufen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.
In der Vorschau können Sie mit dem Filter-Plug-in „statedump“ den internen Status eines Parsers prüfen. Weitere Informationen finden Sie unter Daten mit dem Statedump-Plug-in validieren.
Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.
Die Validierung kann einige Minuten dauern. Wir empfehlen Ihnen daher, zuerst eine Vorschau des benutzerdefinierten Parsers anzusehen, bei Bedarf Änderungen vorzunehmen und ihn dann zu validieren.
Klicken Sie auf Senden.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert. Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Benutzerdefinierten Parser deaktivieren
Wählen Sie im Dreipunkt-Menü Einstellungen > Parser aus.
Klicken Sie neben dem Parser, den Sie inaktiv setzen möchten, auf das Dreipunkt-Menü und wählen Sie in der Liste die Option Inaktiv setzen aus.
Das Dialogfeld Parser inaktivieren wird angezeigt.
Klicken Sie auf Inaktivieren.
Der benutzerdefinierte Parser wird deaktiviert und die aktuelle vorkonfigurierte Parserversion wird nach 20 Minuten aktiviert. Der vorkonfigurierte Parser wird jetzt zum Standardparser. Der benutzerdefinierte Parser wird deaktiviert und die aktuelle vorkonfigurierte Parserversion wird nach 20 Minuten aktiviert. Der vorkonfigurierte Parser wird jetzt zum Standardparser.
Benutzerdefinierten Parser löschen
Wählen Sie im Dreipunkt-Menü Einstellungen > Parser aus.
Klicken Sie neben dem benutzerdefinierten Parser, den Sie löschen möchten, auf das Dreipunkt-Menü und wählen Sie in der Liste Löschen aus. Hinweis: Vordefinierte Parser können nicht gelöscht werden.
Klicken Sie neben dem benutzerdefinierten Parser, den Sie löschen möchten, auf das Dreipunkt-Menü Menü und wählen Sie in der Liste Löschen aus. Hinweis: Vordefinierte Parser können nicht gelöscht werden.
Das Dialogfeld Benutzerdefinierten Parser löschen wird angezeigt.
Klicken Sie auf Löschen.
Der benutzerdefinierte Parser wird gelöscht und die aktuelle vorkonfigurierte Parserversion wird nach 20 Minuten aktiviert. Der benutzerdefinierte Parser wird gelöscht und die aktuelle vorkonfigurierte Parserversion wird nach 20 Minuten aktiviert.
Erweiterung erstellen
Mit Parsererweiterungen können Sie die Funktionen vorhandener vordefinierter (Standard-)Parser und benutzerdefinierter Parser flexibel erweitern. Sie ersetzen keine vordefinierten oder benutzerdefinierten Parser, sondern ermöglichen das nahtlose Extrahieren zusätzlicher Felder aus dem ursprünglichen Rohprotokoll in den UDM-Eintrag. Eine Parsererweiterung unterscheidet sich von einem benutzerdefinierten Parser. Informationen zum Erstellen einer Parsererweiterung finden Sie unter Parsererweiterungen verwenden. Mit Parsererweiterungen können Sie die Funktionen vorhandener vordefinierter (Standard-)Parser und benutzerdefinierter Parser flexibel erweitern. Sie ersetzen keine vordefinierten oder benutzerdefinierten Parser, sondern ermöglichen das nahtlose Extrahieren zusätzlicher Felder aus dem ursprünglichen Rohprotokoll in den UDM-Eintrag. Eine Parsererweiterung unterscheidet sich von einem benutzerdefinierten Parser. Informationen zum Erstellen einer Parsererweiterung finden Sie unter Parsererweiterungen verwenden.
Zugriff auf die Parserverwaltung steuern
Standardmäßig können Nutzer mit den Rollen Administrator und Bearbeiter Parserupdates verwalten. Es können neue Berechtigungen erteilt werden, um zu steuern, wer diese Updates aufrufen und verwalten darf. Weitere Informationen zum Verwalten von Nutzern und Gruppen oder zum Zuweisen von Rollen finden Sie im Leitfaden zur rollenbasierten Zugriffssteuerung.