Vordefinierte und benutzerdefinierte Parser verwalten

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie mit der Parser-Verwaltungsfunktion benutzerdefinierte Parser oder aktivieren oder deaktivieren vordefinierte Parser-Updates, die von Google Security Operations initiiert werden.

Änderungen an vordefinierten Parsern werden regelmäßig als Release-Kandidaten veröffentlicht. Während des Zeitfensters für Releasekandidaten können Sie einen oder mehrere Parser aktualisieren mit den ausstehenden Änderungen. Alle 4 Wochen werden ausstehende Updates automatisch aktiviert Die ausstehenden Parseränderungen werden auf die Standardeinstellungen hochgestuft. Die Zeitspanne, wie eine Änderung bewertet wird, hängt davon ab, wann die Änderung Fenster für Releasekandidaten.

Mit der Funktion zur Parserverwaltung können Sie die Aktualisierung während der Fenster für Releasekandidaten. Sie können eine Liste der bisherigen Änderungen an einem vordefinierten Parser aufrufen sowie bevorstehende Änderungen im Releaserhythmus ansehen. Sie können sich dann entweder für aus dem Update heraus.

Mit Google Security Operations können Sie außerdem flexibel einen benutzerdefinierten Parser für einen Logtyp, der keinen vordefinierten Parser hat. Sie können entweder einen komplett neuen Parser direkt aus dem Rohprotokoll erstellen oder einen vorhandenen Parser als Grundlage für einen neuen benutzerdefinierten Parser verwenden. Sie können Zuordnungsanweisungen durch Erstellen eines Parsers erweitern. -Erweiterung für einen vordefinierten oder für einen benutzerdefinierten Parser.

Es gibt verschiedene Arten von Parsern:

Parsertyp Beschreibung
Vordefiniert Parser, die von Google Security Operations erstellt werden und integrierte Anweisungen zur Datenzuordnung zur Transformation enthalten ursprünglichen Logdaten in UDM-Felder übertragen.
Vorkonfiguriert erweitert Vordefinierter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen zum Extrahieren zusätzlicher Daten erstellt wurde Daten aus einem ursprünglichen Rohlog und fügen sie in den UDM-Eintrag ein.
Benutzerdefiniert Von Kunden erstellte Parser mit benutzerdefinierten Datenzuordnungsanweisungen zur Umwandlung der ursprünglichen Protokolldaten in UDM-Felder.
Benutzerdefiniert erweitert Ein von Kunden erstellter benutzerdefinierter Parser mit zusätzlichen Zuordnungsanweisungen. Dabei werden mithilfe einer Parsererweiterung zusätzliche Daten aus einem ursprünglichen Rohlog und fügen sie in den UDM-Eintrag ein.

Hinweise

In den folgenden Dokumenten werden die Konzepte erläutert, die für Parser-Updates verwalten:

Benutzerdefinierten Parser anhand von Zuordnungsanweisungen erstellen

Sie können einen benutzerdefinierten Parser erstellen, indem Sie Code schreiben, der das ursprüngliche Rohprotokoll in einen UDM-Eintrag konvertiert. Informationen zur Struktur eines Parsers finden Sie unter Übersicht über das Parsen von Protokollen. und Parser-Syntaxreferenz für zur Syntax enthält. Achten Sie beim Erstellen eines Parsers darauf, dass die Datenzuordnungsanweisungen so viele wichtige UDM-Felder wie möglich füllen.

  1. Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen:

  2. Klicken Sie auf Parser erstellen.

  3. Wählen Sie in der Liste Logquelle eine geeignete Protokollquelle aus.

  4. Wählen Sie Nur mit Rohlogs beginnen aus, um einen neuen Parser gemäß Ihren Anforderungen zu erstellen.

  5. Klicken Sie auf Erstellen.

  6. Geben Sie den Code in das Parser Code Terminal ein. Weitere Informationen finden Sie unter Anleitung für die Code-Snippet-Zuordnung erstellen.

  7. Optional: Klicken Sie auf , um das vorhandene Rohlog zu bearbeiten oder zu kopieren.

  8. Optional: Klicken Sie auf , um das neueste Rohprotokoll zu laden.

  9. Klicken Sie auf Vorschau, um die UDM-Ausgabe anzusehen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.

    In der Vorschau können Sie mit dem angegebenenump-Filter-Plug-in die internen Status eines Parsers. Weitere Informationen finden Sie unter Daten mit dem angegebenenump-Plug-in validieren.

  10. Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.

    Die Überprüfung kann einige Minuten dauern. Wir empfehlen Ihnen daher, Sehen Sie sich zuerst eine Vorschau des benutzerdefinierten Parsers an, nehmen Sie gegebenenfalls Änderungen vor und validieren Sie dann den Parser. den benutzerdefinierten Parser.

  11. Klicken Sie auf Senden.

    Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Benutzerdefinierten Parser aus einem vorhandenen Parser erstellen

Sie können einen vorhandenen Parser als Vorlage verwenden, um einen neuen Parser zu erstellen. Sie können einen benutzerdefinierten Parser nur mit dem Code-Ansatz erstellen. So erstellen Sie einen benutzerdefinierten Parser aus einem vorhandenen Parser:

  1. Wählen Sie im Anwendungsmenü die Option Einstellungen > Parser.

  2. Klicken Sie auf Parser erstellen.

  3. Wählen Sie in der Liste Logquelle eine geeignete Protokollquelle aus.

  4. Wählen Sie Mit einem vorhandenen vorkonfigurierten Parser beginnen aus, um einen vorhandenen Parser als Grundlage für einen neuen benutzerdefinierten Parser zu verwenden.

  5. Klicken Sie auf Erstellen.

  6. Bearbeiten Sie den Code im Parsercode-Terminal. Weitere Informationen finden Sie unter Anleitung für die Code-Snippet-Zuordnung erstellen.

  7. Optional: Klicken Sie auf , um das Rohlog zu bearbeiten.

  8. Optional: Klicken Sie auf , um das Rohlog zu aktualisieren.

  9. Wenn Sie Code zum Erstellen des Parsers hinzufügen, klicken Sie auf Vorschau, um die UDM-Ausgabe aufzurufen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.

    In der Vorschau können Sie mit dem angegebenenump-Filter-Plug-in die internen Status eines Parsers. Weitere Informationen finden Sie unter Daten mit dem angegebenenump-Plug-in validieren.

  10. Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.

    Die Validierung kann einige Minuten dauern. Wir empfehlen daher, zuerst eine Vorschau des benutzerdefinierten Parsers anzusehen, gegebenenfalls Änderungen vorzunehmen und dann den benutzerdefinierten Parser zu validieren.

  11. Klicken Sie auf Senden.

    Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Updates für vordefinierte Parser verwalten

Wenn Google Security Operations ein Update für einen Parser veröffentlicht, befindet sich diese im Status „Ausstehend“ für 15 Tage angezeigt. Wenn Sie ein Parser-Update aktivieren oder deaktivieren möchten, vergleichen Sie die ältere und die neuere Parserversion. Gehen Sie dazu so vor:

  1. Melden Sie sich in Ihrem Google Security Operations-Instanz.

  2. Wählen Sie im Anwendungsmenü Einstellungen > Parser.

  3. Klicken Sie auf Filtern.

  4. Wählen Sie in der Liste Vordefiniert, Aktiv und Vordefiniert (erweitert) aus.

    Ihre aktiven vordefinierten Parser werden angezeigt. Vordefinierte Parser sind Standardparser veröffentlicht von Google Security Operations. Wenn in der Spalte Update der Wert Pending (Ausstehend) erscheint: als Status enthält, zeigt er an, dass für den Parser eine Aktualisierung vorliegt, die Sie überprüfen können.

  5. Klicken Sie auf das Menü und wählen Sie Sehen Sie sich das ausstehende Update in der Liste an.

    Die Seite Parser vergleichen wird angezeigt. Hier sehen Sie Folgendes:

    • Codeunterschied zwischen der aktuellen und der zukünftigen Parserversion

    • Änderungsprotokolle im Tab Änderungsprotokolle

    • Das generierte UDM-Ereignis für das Rohprotokoll der Stichproben

    • Datum und Uhrzeit der Erstellung des Parsers

    • Datum und Uhrzeit der letzten Aktualisierung des Parsercodes

    Du kannst das Update entweder frühzeitig aktivieren oder warten, bis es automatisch angewendet wird .

Parser-Updates frühzeitig aktivieren

Mit der Parser-Verwaltungsfunktion können Sie Parser-Updates frühzeitig aktivieren und testen. Sie können Parser-Updates nur dann vorzeitig aktivieren, wenn Sie einen vorkonfigurierten Parser verwenden. Nach der frühzeitigen Aktivierung können Sie den Parser innerhalb von 15 Tage nach der Aktualisierung. So aktivieren Sie das Update frühzeitig:

  1. Klicken Sie auf der Seite Parser vergleichen auf Parseraktualisierung aktivieren.

    Das Dialogfeld Parser-Aktualisierung bestätigen wird angezeigt.

  2. Klicken Sie auf Bestätigen.

    Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Parser-Updates deaktivieren

Wenn Sie die aktuellen und zukünftigen Parserupdates deaktivieren möchten, erstellen Sie einen benutzerdefinierten Parser. Ich Ihre aktuelle oder aktualisierte Version des Parsers als benutzerdefinierten Parser verwenden. Alle zukünftigen Updates für einen benutzerdefinierten Parser sind für Sie sichtbar, werden aber nur angewendet, wenn Sie sie aktivieren. Wenn du keine aktuellen oder zukünftigen Updates mehr erhalten möchtest, folge einfach diese Schritte:

  1. Klicken Sie auf der Seite Parser vergleichen auf Aktualisierung überspringen.

    Das Fenster Aktualisierung überspringen und benutzerdefinierten Parser erstellen wird angezeigt.

  2. Klicken Sie auf Benutzerdefinierten Parser erstellen.

  3. Wenn Sie die Standardparserversion als benutzerdefinierten Parser festlegen möchten, wählen Sie Vordefinierter Parser aus. Um die aktualisierte Version als benutzerdefinierten Parser festzulegen, wählen Sie Ausstehend Parser-Update.

  4. Klicken Sie auf Erstellen.

    Die ausgewählte Version wird nach 20 Minuten für die Normalisierung ausgewählt. Sie wird in der Tabelle als Custom (Benutzerdefiniert) und Active (Aktiv) angezeigt. der Parserliste auf der Seite Parser. Die frühere vordefinierte Version wird Vordefiniert und Inaktiv.

Updates für benutzerdefinierte Parser verwalten

Wenn Sie die Aktualisierung vorgefertigter Parser deaktivieren, wird ein benutzerdefinierter Parser erstellt. Einen benutzerdefinierten Parser in der Parserliste als neuer Eintrag sichtbar ist.

Benutzerdefinierten Parser deaktivieren

  1. Wählen Sie im Anwendungsmenü Einstellungen > Parser.

  2. Klicken Sie beim Parser auf Menü. das Sie deaktivieren möchten, und wählen Sie in der Liste Deaktivieren aus.

    Das Dialogfeld Parser inaktiv machen wird angezeigt.

  3. Klicken Sie auf Deaktivieren.

Der benutzerdefinierte Parser wird deaktiviert und die Standardparserversion wird nach 20 Minuten aktiviert. Das heißt, der benutzerdefinierte Parser wird zu einem vordefinierten Parser. Wenn Sie einen benutzerdefinierten Parser erstellt haben von einem vordefinierten Parser mit Aktualisierungen gehen, gehen diese Aktualisierungen verloren, wenn Sie den einem vordefinierten Parser zu. Sie müssen die Parser-Updates noch einmal aktivieren.

Benutzerdefinierten Parser löschen

  1. Wählen Sie im Anwendungsmenü Einstellungen > Parser.

  2. Klicken Sie beim Parser auf Menü. den Sie löschen möchten, und wählen Sie Löschen aus der Liste aus.

    Das Dialogfeld Benutzerdefinierten Parser löschen wird angezeigt.

  3. Klicken Sie auf Löschen.

Der benutzerdefinierte Parser wird nach 20 Minuten gelöscht und die Standardversion des Parsers aktiviert. Das heißt, der benutzerdefinierte Parser wird zu einem vordefinierten Parser. Wenn Sie einen benutzerdefinierten Parser erstellt haben von einem vordefinierten Parser mit Aktualisierungen gehen, gehen diese Aktualisierungen verloren, wenn Sie den einem vordefinierten Parser zu. Sie müssen die Parser-Updates noch einmal aktivieren.

Erweiterung erstellen

Sie können einen benutzerdefinierten oder vordefinierten Parser erweitern, indem Sie benutzerdefinierte Zuordnungsanweisungen definieren. um zusätzliche Daten aus einem Originalrohprotokoll zu extrahieren. Sie können die Daten in den von einem benutzerdefinierten Parser generierten UDM-Eintrag Sie können keinen neuen Parser erstellen mit Parsererweiterungen verwendet werden.

Informationen zum Erstellen von Parsererweiterungen finden Sie unter Parsererweiterungen verwenden.

Frühere Aktualisierung eines vordefinierten Parsers rückgängig machen

Wenn Sie ein Parser-Update frühzeitig aktiviert haben, können Sie innerhalb von 15 Tagen zur vorherigen Version zurückkehren. Um zur vorherigen Parser-Version zurückzukehren, führen Sie folgende Schritte aus:

  1. Wählen Sie im Anwendungsmenü Einstellungen > Parser.

  2. Klicken Sie beim Parser auf Menü. die Sie wiederherstellen möchten.

  3. Klicken Sie auf Ansehen.

    Die Seite Vordefinierten Parser ansehen wird angezeigt.

  4. Klicken Sie auf Vorherige Version wiederherstellen.

    Das Dialogfeld Zurück zum vorherigen Titel wird angezeigt. Klicken Sie auf Parser vergleichen. im Dialogfeld, um den Unterschied zwischen der aktuellen und der vorherigen Version zu sehen.

  5. Klicken Sie auf Bestätigen, um den Parser auf die vorherige Version zurückzusetzen.

    Der Parser wird nach 20 Minuten auf seine vorherige Version zurückgesetzt.

Zugriff auf die Parserverwaltung steuern

Standardmäßig können Parseraktualisierungen von Nutzern mit Administrator und Bearbeiter. Es können neue Berechtigungen gewährt werden, um zu steuern, wer das Element ansehen und verwalten darf Parser-Updates. Weitere Informationen zum Verwalten von Nutzern und Gruppen oder zum Zuweisen von Rollen finden Sie im Nutzerhandbuch zur rollenbasierten Zugriffssteuerung.