Gerenciar analisadores pré-criados e personalizados
Neste documento, descrevemos como usar o recurso de gerenciamento do analisador para criar Analisadores personalizados ou ativar ou desativar as atualizações pré-criadas do analisador iniciadas pelas Operações de Segurança do Google.
As mudanças nos analisadores pré-criados são lançadas em uma frequência regular como candidatos a lançamento. Durante a janela de candidato a lançamento, é possível atualizar um ou mais analisadores com as alterações pendentes. A cada quatro semanas, as atualizações pendentes são ativadas automaticamente quando as alterações pendentes do analisador são promovidas para padrão. O tempo necessário para avaliar uma mudança depende de quando ela foi lançada durante a janela de candidato à versão.
O recurso de gerenciamento do analisador permite inspecionar e testar a atualização durante a janela de candidato à versão. É possível conferir uma lista de mudanças anteriores em um analisador predefinido e também as próximas mudanças na cadência de lançamento. Você pode ativar ou desativar a atualização.
As Operações de segurança do Google também oferecem a flexibilidade de criar um analisador personalizado para um tipo de registro sem um analisador pré-criado. É possível criar um analisador totalmente novo diretamente do registro bruto ou usar um analisador existente como base para um novo analisador personalizado. É possível estender as instruções de mapeamento criando uma extensão de analisador para um analisador predefinido ou personalizado.
Estes são os vários tipos de analisadores:
Tipo de analisador | Descrição |
---|---|
Pré-criado | Analisadores criados pelo Google Security Operations e que contêm instruções integradas de mapeamento de dados para transformar os dados de registro originais em campos do UDM. |
Pré-montagem estendida | Um analisador pré-criado criado pelos clientes com mais instruções de mapeamento para extrair os dados de um registro bruto original e inseri-los no registro UDM. |
Personalizado | Parsers criados pelos clientes com instruções de mapeamento de dados personalizadas para transformar os dados de registro originais em campos do UDM. |
Personalizado estendido | Um analisador personalizado criado pelos clientes com instruções de mapeamento adicionais usando uma extensão de analisador para extrair outros dados de um registro bruto original e inseri-los no registro do UDM. |
Antes de começar
Os documentos a seguir explicam conceitos de pré-requisitos importantes para gerenciar atualizações do analisador:
Criar um analisador personalizado com base em instruções de mapeamento
É possível criar um analisador personalizado escrevendo um código que converta o registro bruto original em um registro do UDM. Para ver a estrutura de um analisador, consulte Visão geral da análise de registros. e Referência de sintaxe do analisador para informações sobre a sintaxe. Ao criar um analisador, certifique-se de que o mapeamento de dados as instruções preenchem o maior número possível de campos importantes do UDM.
Na barra de navegação, selecione Configurações > Configurações do SIEM.
Clique em Criar analisador.
Selecione uma origem de registro adequada na lista Origem do registro.
Selecione Começar com apenas registros brutos para criar um novo analisador de acordo com seus requisitos.
Clique em Criar.
Digite o código no terminal de código do analisador. Para mais informações, consulte Criar uma instrução de mapeamento de snippet de código.
Opcional: clique em
para editar a cópia ou o registro bruto atual.Opcional: clique em
para carregar o registro bruto mais recente.Clique em Visualizar para conferir a saída da UDM. Uma mensagem de erro será exibida se o código estiver incorreto.
Na visualização, é possível usar o plug-in de filtro de statedump para validar o estado interno de um analisador. Para mais informações, consulte Validar dados usando o plug-in declaradoump.
Clique em Validar para validar o analisador personalizado.
O processo de validação pode levar alguns minutos, por isso recomendamos que você visualizar o analisador personalizado primeiro, fazer alterações, se necessário, e validar ao analisador personalizado.
Clique em Enviar.
O analisador é selecionado para normalização após 20 minutos.
Criar um analisador personalizado a partir de um já existente
É possível usar um analisador atual como modelo para criar um novo. Só é possível criar um analisador personalizado usando a abordagem de código. Para criar um analisador personalizado a partir de um analisador existente, siga estas etapas:
No menu do app
, selecione Configurações > Analisadores.Clique em Criar analisador.
Selecione uma origem de registro adequada na lista Origem do registro.
Selecione Iniciar com um analisador pré-criado para usar um analisador existente como base para criar um novo analisador personalizado.
Clique em Criar.
Edite o código no Parser Code Terminal. Para mais informações, consulte Criar uma instrução de mapeamento do snippet de código.
Opcional: clique em
para editar o registro bruto.Opcional: clique em
para atualizar o registro bruto.À medida que você adiciona código para criar o analisador, clique em Prévia para conferir a saída da UDM. Uma mensagem de erro vai aparecer se o código estiver incorreto.
Na visualização, você pode usar o plug-in de filtro declarado para validar o comportamento estado de um analisador. Para mais informações, consulte Validar dados usando o plug-in statedump.
Clique em Validar para validar o analisador personalizado.
O processo de validação pode levar alguns minutos. Por isso, recomendamos que você faça uma prévia do analisador personalizado, faça as alterações necessárias e, em seguida, valide o analisador.
Clique em Enviar.
O analisador é selecionado para normalização após 20 minutos.
Gerenciar atualizações pré-criadas do analisador
Quando as Operações de segurança do Google lançam uma atualização para um analisador, as atualizações ficam pendentes por 15 dias. Para ativar ou desativar uma atualização do analisador, examine a diferença entre as versões anteriores e mais recentes do analisador fazendo o seguinte:
Faça login na sua instância do Google Security Operations.
No menu do aplicativo
, selecione Settings > Parsers.Clique em
Filtrar.Selecione Prebuilt, Active e Prebuilt Extended na lista.
Os analisadores pré-criados ativos são mostrados. Os analisadores pré-criados são padrão lançado pelas Operações de segurança do Google. Se a coluna Update contiver Pending como status, isso indica que o analisador tem uma atualização que pode ser inspecionada.
Clique em
Menu e selecione Ver atualização pendente na lista.A página Comparar analisadores será exibida. Nela, você encontra o seguinte:
A diferença de código entre a versão atual e a próxima do analisador
Os registros de mudanças na guia Registros de mudanças
O evento UDM gerado para o registro bruto amostrado
Data e hora em que o analisador foi criado
A data e a hora em que o código do analisador foi atualizado pela última vez
Você pode ativar a atualização antecipadamente e esperar que ela seja aplicada automaticamente. em 15 dias ou desativar essa opção.
Ativar as atualizações do analisador com antecedência
O recurso de gerenciamento do analisador permite ativar antecipadamente uma atualização e teste do analisador reimplantá-lo. Você só pode ativar as atualizações do analisador com antecedência se estiver usando um analisador pré-criado. Ao aceitar com antecedência, você pode reverter o analisador para a versão anterior no 15 dias da versão da atualização. Para ativar a atualização antecipadamente, siga estas etapas:
Na página Comparar analisadores, clique em Ativar a atualização do analisador.
A caixa de diálogo Confirmar atualização do analisador é exibida.
Clique em Confirmar.
O analisador é escolhido para normalização após 20 minutos.
Desativar atualizações do analisador
Para desativar as atualizações atuais e futuras do analisador, crie um analisador personalizado. Você pode usar sua versão atual ou atualizada do analisador como um analisador personalizado. Todas as atualizações futuras de um analisador personalizado vão ficar visíveis para você, mas não serão aplicadas a menos que você ative essa opção. Para desativar as atualizações atuais ou futuras, siga estas etapas:
Na página Comparar analisadores, clique em Pular atualização.
A janela Skip update and create custom parser aparece.
Clique em Criar analisador personalizado.
Para definir a versão do analisador padrão como o analisador personalizado, selecione Analisador pré-criado. Para definir a versão atualizada como o analisador personalizado, selecione Atualização pendente do analisador.
Clique em Criar.
A versão selecionada é escolhida para normalização após 20 minutos. Ele aparece como Personalizado e Ativo na lista de analisadores na página Analisadores. A versão predefinida anterior aparece como Predefinida e Inativa.
Gerenciar atualizações personalizadas do analisador
Quando você desativa as atualizações do analisador pré-criado, um analisador personalizado é criado. Um analisador personalizado visível na lista de analisadores como uma nova entrada.
Tornar um analisador personalizado inativo
No menu do aplicativo
, selecione Configurações > Analisadores.Clique em
Menu ao lado do analisador que você quer desativar e selecione Desativar na lista.A caixa de diálogo Tornar analisador inativo é exibida.
Clique em Tornar inativo.
O analisador personalizado é desativado, e a versão padrão é ativada após 20 minutos. Ou seja, o analisador personalizado se torna um pré-criado. Se você criou um analisador personalizado de um analisador pré-criado com atualizações, elas serão perdidas quando você reverter personalizado para um pré-criado. Você precisa ativar novamente as atualizações do analisador.
Excluir um analisador personalizado
No menu do aplicativo
, selecione Configurações > Analisadores.Clique em
Menu ao lado do analisador que você quer excluir e selecione Delete na lista.A caixa de diálogo Excluir analisador personalizado vai aparecer.
Clique em Excluir.
O analisador personalizado é excluído e a versão padrão é ativada após 20 minutos. Ou seja, o analisador personalizado se torna um pré-criado. Se você criou um analisador personalizado de um analisador pré-criado com atualizações, elas serão perdidas quando você reverter personalizado para um pré-criado. É necessário ativar novamente as atualizações do analisador.
Criar uma extensão
É possível estender um analisador personalizado ou pré-criado definindo instruções de mapeamento personalizadas para extrair mais dados de um registro bruto original. É possível inserir os dados o registro UDM gerado por um analisador personalizado. Não é possível criar um novo analisador usando extensões de analisador.
Para informações sobre como criar extensões de analisador, consulte Usar extensões de analisador.
Reverter uma atualização antecipada de um analisador pré-criado
Se você optou antecipadamente por uma atualização do analisador, pode reverter para a versão anterior no período de 15 dias. Para voltar à versão anterior do analisador, siga estas etapas:
No menu do aplicativo
, selecione Configurações > Analisadores.Clique em
Menu no analisador que você quer reverter.Clique em Visualizar.
A página View prebuilt parser aparece.
Clique em Reverter para a versão anterior.
A caixa de diálogo Reverter para o anterior vai aparecer. Clique em Compare Parsers na caixa de diálogo para conferir a diferença entre a versão atual e a anterior.
Clique em Confirm para reverter o analisador para a versão anterior.
O analisador é revertido para a versão anterior após 20 minutos.
Controlar o acesso ao gerenciamento do analisador
Por padrão, as atualizações do analisador podem ser gerenciadas por usuários com funções de Administrador e Editor. É possível conceder novas permissões para controlar quem pode visualizar e gerenciar as atualizações do analisador. Para mais informações sobre como gerenciar usuários e grupos ou atribuir funções, consulte o guia do usuário do controle de acesso baseado em função.