Vordefinierte und benutzerdefinierte Parser verwalten

In diesem Dokument wird beschrieben, wie Sie mit der Funktion zur Parserverwaltung benutzerdefinierte Parser erstellen oder vordefinierte Parser-Updates, die von Google Security Operations initiiert werden, aktivieren oder deaktivieren.

Änderungen an vordefinierten Parsern werden regelmäßig als Releasekandidaten veröffentlicht. Während des Zeitfensters für Releasekandidaten können Sie einen oder mehrere Parser mit den ausstehenden Änderungen aktualisieren. Alle vier Wochen werden ausstehende Aktualisierungen automatisch aktiv, wenn die ausstehenden Parseränderungen auf die Standardeinstellungen hochgestuft werden. Wie lange eine Änderung ausgewertet wird, hängt davon ab, wann die Änderung während des Zeitfensters für Releasekandidaten freigegeben wurde.

Mit der Funktion zur Parserverwaltung können Sie das Update während des Zeitfensters für Releasekandidaten prüfen und testen. Sie können eine Liste der bisherigen Änderungen an einem vordefinierten Parser sowie anstehende Änderungen im Releaserhythmus aufrufen. Du kannst das Update dann aktivieren oder deaktivieren.

Google Security Operations bietet Ihnen außerdem die Flexibilität, einen benutzerdefinierten Parser für einen Logtyp zu erstellen, der keinen vordefinierten Parser hat. Sie können entweder einen komplett neuen Parser direkt aus dem Rohlog erstellen oder einen vorhandenen Parser als Basis für einen neuen benutzerdefinierten Parser verwenden. Sie können Zuordnungsanweisungen erweitern, indem Sie eine Parsererweiterung für einen vordefinierten oder für einen benutzerdefinierten Parser erstellen.

Es gibt folgende Parsertypen:

Parsertyp	Beschreibung
Vordefiniert	Parser, die von Google Security Operations erstellt werden und integrierte Anweisungen zur Datenzuordnung zum Transformieren der ursprünglichen Logdaten in UDM-Felder enthalten.
Vorkonfiguriert erweitert	Ein vorgefertigter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen erstellt wird, um zusätzliche Daten aus einem ursprünglichen Rohlog zu extrahieren und in den UDM-Eintrag einzufügen.
Benutzerdefiniert	Parser, die von Kunden mit benutzerdefinierten Anweisungen für die Datenzuordnung erstellt werden, um ursprüngliche Logdaten in UDM-Felder umzuwandeln.
Benutzerdefiniert erweitert	Ein benutzerdefinierter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen erstellt wird. Dabei wird eine Parsererweiterung verwendet, um zusätzliche Daten aus einem ursprünglichen Rohlog zu extrahieren und in den UDM-Eintrag einzufügen.

Hinweise

In den folgenden Dokumenten werden die Konzepte erläutert, die für die Verwaltung von Parseraktualisierungen wichtig sind:

• Übersicht über das einheitliche Datenmodell
• Übersicht über das Parsen von Logs

Benutzerdefinierten Parser anhand von Zuordnungsanweisungen erstellen

Sie können einen benutzerdefinierten Parser erstellen, indem Sie Code schreiben, der das ursprüngliche Rohlog in einen UDM-Eintrag konvertiert. Informationen zur Struktur eines Parsers finden Sie in der Übersicht über das Parsen von Logs und in der Parser-Syntaxreferenz. Achten Sie beim Erstellen eines Parsers darauf, dass in der Anleitung zur Datenzuordnung so viele wichtige UDM-Felder wie möglich ausgefüllt werden.

1. Wählen Sie in der Navigationsleiste Einstellungen > SIEM-Einstellungen aus.

2. Klicken Sie auf Parser erstellen.

3. Wählen Sie in der Liste Logquelle eine geeignete Protokollquelle aus.

4. Wählen Sie Nur mit Rohlogs beginnen aus, um einen neuen Parser gemäß Ihren Anforderungen zu erstellen.

5. Klicken Sie auf Erstellen.

6. Geben Sie den Code im Parsercode-Terminal ein. Weitere Informationen finden Sie unter Anleitung für die Code-Snippet-Zuordnung erstellen.

7. Optional: Klicken Sie auf edit, um das vorhandene Rohlog zu bearbeiten oder zu kopieren.

8. Optional: Klicken Sie auf refresh, um das neueste Rohlog zu laden.

9. Klicken Sie auf Vorschau, um die UDM-Ausgabe anzusehen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.

   In der Vorabversion können Sie mit dem Filter-Plug-in „anlassedump“ den internen Status eines Parsers prüfen. Weitere Informationen finden Sie unter Daten mit dem angegebenenump-Plug-in validieren.

10. Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.

    Die Validierung kann einige Minuten dauern. Wir empfehlen daher, zuerst eine Vorschau des benutzerdefinierten Parsers anzusehen, gegebenenfalls Änderungen vorzunehmen und dann den benutzerdefinierten Parser zu validieren.

11. Klicken Sie auf Senden.

    Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Benutzerdefinierten Parser aus einem vorhandenen Parser erstellen

Sie können einen vorhandenen Parser als Vorlage verwenden, um einen neuen Parser zu erstellen. Sie können einen benutzerdefinierten Parser nur mit dem Code-Ansatz erstellen. So erstellen Sie einen benutzerdefinierten Parser aus einem vorhandenen Parser:

1. Wählen Sie im Anwendungsmenü apps die Option Settings > Parsers (Einstellungen > Parser) aus.

2. Klicken Sie auf Parser erstellen.

3. Wählen Sie in der Liste Logquelle eine geeignete Protokollquelle aus.

4. Wählen Sie Mit einem vorhandenen vordefinierten Parser beginnen aus, um einen vorhandenen Parser als Basis zum Erstellen eines neuen benutzerdefinierten Parsers zu verwenden.

5. Klicken Sie auf Erstellen.

6. Bearbeiten Sie den Code im Parsercode-Terminal. Weitere Informationen finden Sie unter Anleitung für die Code-Snippet-Zuordnung erstellen.

7. Optional: Klicken Sie auf edit, um das Rohlog zu bearbeiten.

8. Optional: Klicken Sie auf refresh, um das Rohlog zu aktualisieren.

9. Wenn Sie Code zum Erstellen des Parsers hinzufügen, klicken Sie auf Vorschau, um die UDM-Ausgabe aufzurufen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.

   In der Vorabversion können Sie mit dem Filter-Plug-in „anlassedump“ den internen Status eines Parsers prüfen. Weitere Informationen finden Sie unter Daten mit dem angegebenenump-Plug-in validieren.

10. Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.

    Die Validierung kann einige Minuten dauern. Wir empfehlen daher, zuerst eine Vorschau des benutzerdefinierten Parsers anzusehen, gegebenenfalls Änderungen vorzunehmen und dann den benutzerdefinierten Parser zu validieren.

11. Klicken Sie auf Senden.

    Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Updates für vordefinierte Parser verwalten

Wenn Google Security Operations ein Update für einen Parser veröffentlicht, haben die Updates 15 Tage lang den Status „Ausstehend“. Wenn Sie eine Parseraktualisierung aktivieren oder deaktivieren möchten, untersuchen Sie den Unterschied zwischen der früheren und den neueren Parser-Version. Gehen Sie dazu so vor:

1. Melden Sie sich bei Ihrer Google Security Operations-Instanz an.

2. Wählen Sie im Anwendungsmenü apps die Option Settings > Parsers (Einstellungen > Parser) aus.

3. Klicken Sie auf filter_alt Filtern.

4. Wählen Sie aus der Liste Vorkonfiguriert, Aktiv und Vorkonfiguriert erweitert aus.

   Ihre aktiven vordefinierten Parser werden angezeigt. Vordefinierte Parser sind Standardparser, die von Google Security Operations veröffentlicht werden. Wenn die Spalte Update den Status Pending (Ausstehend) enthält, wird für den Parser eine Aktualisierung angezeigt, die Sie überprüfen können.

5. Klicken Sie auf das more_vert Menü und wählen Sie Ausstehendes Update anzeigen aus der Liste aus.

   Die Seite Parser vergleichen wird angezeigt. Hier sehen Sie Folgendes:

   • Codeunterschied zwischen der aktuellen und der zukünftigen Parserversion

   • Änderungsprotokolle im Tab Änderungsprotokolle

   • Das generierte UDM-Ereignis für das Rohprotokoll der Stichproben

   Du kannst das Update entweder frühzeitig aktivieren, warten, bis es nach 15 Tagen automatisch angewendet wird, oder es deaktivieren.

Parser-Updates frühzeitig aktivieren

Mit der Funktion zur Parserverwaltung können Sie frühzeitig eine Parser-Aktualisierung aktivieren und testen. Sie können Parser-Updates nur dann frühzeitig aktivieren, wenn Sie einen vordefinierten Parser verwenden. Nach der frühzeitigen Aktivierung können Sie den Parser innerhalb von 15 Tagen nach dem Update auf seine frühere Version zurücksetzen. So aktivieren Sie das Update frühzeitig:

1. Klicken Sie auf der Seite Parser vergleichen auf Parseraktualisierung aktivieren.

   Das Dialogfeld Parser-Aktualisierung bestätigen wird angezeigt.

2. Klicken Sie auf Bestätigen.

   Der Parser wird nach 20 Minuten für die Normalisierung ausgewählt.

Parser-Updates deaktivieren

Wenn Sie die aktuellen und zukünftigen Parser-Updates deaktivieren möchten, erstellen Sie einen benutzerdefinierten Parser. Sie können Ihre aktuelle oder aktualisierte Version des Parsers als benutzerdefinierten Parser verwenden. Alle zukünftigen Aktualisierungen eines benutzerdefinierten Parsers sind für Sie sichtbar, werden aber nur angewendet, wenn Sie sie aktivieren. So deaktivieren Sie aktuelle oder zukünftige Updates:

1. Klicken Sie auf der Seite Parser vergleichen auf Aktualisierung überspringen.

   Das Fenster Aktualisierung überspringen und benutzerdefinierten Parser erstellen wird angezeigt.

2. Klicken Sie auf Benutzerdefinierten Parser erstellen.

3. Wenn Sie die Standardversion des Parsers als benutzerdefinierten Parser festlegen möchten, wählen Sie Vordefinierter Parser aus. Wählen Sie Ausstehende Parseraktualisierung aus, um die aktualisierte Version als benutzerdefinierten Parser festzulegen.

4. Klicken Sie auf Erstellen.

   Die ausgewählte Version wird nach 20 Minuten für die Normalisierung ausgewählt. Sie wird in der Parserliste auf der Seite Parser als Custom und Active angezeigt. Die frühere vordefinierte Version wird als Vorgefertigt und Inaktiv angezeigt.

Updates für benutzerdefinierte Parser verwalten

Wenn Sie die Aktualisierung vorgefertigter Parser deaktivieren, wird ein benutzerdefinierter Parser erstellt. Ein benutzerdefinierter Parser ist in der Parserliste als neuer Eintrag sichtbar.

Benutzerdefinierten Parser deaktivieren

1. Wählen Sie im Anwendungsmenü apps die Option Settings > Parsers (Einstellungen > Parser) aus.

2. Klicken Sie für den Parser, den Sie deaktivieren möchten, auf more_vert Menü und wählen Sie in der Liste Deaktivieren aus.

   Das Dialogfeld Parser inaktiv machen wird angezeigt.

3. Klicken Sie auf Deaktivieren.

Der benutzerdefinierte Parser wird nach 20 Minuten deaktiviert und die Standard-Parser-Version wird aktiviert. Das heißt, der benutzerdefinierte Parser wird zu einem vordefinierten Parser. Wenn Sie einen benutzerdefinierten Parser aus einem vordefinierten Parser mit Aktualisierungen erstellt haben, gehen die Aktualisierungen verloren, wenn Sie den benutzerdefinierten Parser auf einen vordefinierten Parser zurücksetzen. Sie müssen die Parser-Updates noch einmal aktivieren.

Benutzerdefinierten Parser löschen

1. Wählen Sie im Anwendungsmenü apps die Option Settings > Parsers (Einstellungen > Parser) aus.

2. Klicken Sie für den Parser, den Sie löschen möchten, auf more_vert Menü und wählen Sie Löschen aus der Liste aus.

   Das Dialogfeld Benutzerdefinierten Parser löschen wird angezeigt.

3. Klicken Sie auf Löschen.

Der benutzerdefinierte Parser wird nach 20 Minuten gelöscht und die Standardversion des Parsers aktiviert. Das heißt, der benutzerdefinierte Parser wird zu einem vordefinierten Parser. Wenn Sie einen benutzerdefinierten Parser aus einem vordefinierten Parser mit Aktualisierungen erstellt haben, gehen die Aktualisierungen verloren, wenn Sie den benutzerdefinierten Parser auf einen vordefinierten Parser zurücksetzen. Sie müssen die Parser-Updates noch einmal aktivieren.

Erweiterung erstellen

Sie können einen benutzerdefinierten oder vordefinierten Parser erweitern, indem Sie benutzerdefinierte Zuordnungsanweisungen definieren, um zusätzliche Daten aus einem ursprünglichen Rohlog zu extrahieren. Sie können die Daten in den UDM-Eintrag einfügen, der von einem benutzerdefinierten Parser generiert wird. Sie können keinen neuen Parser mit Parsererweiterungen erstellen.

Informationen zum Erstellen von Parsererweiterungen finden Sie unter Parsererweiterungen verwenden.

Frühere Aktualisierung eines vordefinierten Parsers rückgängig machen

Wenn Sie sich frühzeitig für ein Parser-Update entschieden haben, können Sie innerhalb von 15 Tagen zur vorherigen Version zurückkehren. So kehren Sie zur vorherigen Parserversion zurück:

1. Wählen Sie im Anwendungsmenü apps die Option Settings > Parsers (Einstellungen > Parser) aus.

2. Klicken Sie für den Parser, den Sie wiederherstellen möchten, auf das more_vert-Menü.

3. Klicken Sie auf Ansehen.

   Die Seite Vordefinierten Parser ansehen wird angezeigt.

4. Klicken Sie auf Vorherige Version wiederherstellen.

   Das Dialogfeld Zurück zum vorherigen Titel wird angezeigt. Sie können im Dialogfeld auf Parser vergleichen klicken, um den Unterschied zwischen der aktuellen und der vorherigen Version zu sehen.

5. Klicken Sie auf Bestätigen, um den Parser auf die vorherige Version zurückzusetzen.

   Der Parser wird nach 20 Minuten auf seine vorherige Version zurückgesetzt.

Zugriff auf die Parserverwaltung steuern

Standardmäßig können Parseraktualisierungen von Nutzern mit den Rollen Administrator und Bearbeiter verwaltet werden. Es können neue Berechtigungen gewährt werden, um zu steuern, wer Parser-Updates ansehen und verwalten kann. Weitere Informationen zum Verwalten von Nutzern und Gruppen oder zum Zuweisen von Rollen finden Sie im Nutzerhandbuch zur rollenbasierten Zugriffssteuerung.