Gestionar analizadores predefinidos y personalizados
Información general
En este documento se explica cómo gestionar los analizadores en Google Security Operations. En él se explica cómo gestionar las actualizaciones de los analizadores precompilados y personalizados, crear extensiones de analizadores y controlar el acceso a las funciones de gestión de analizadores:
- Gestionar las actualizaciones de los analizadores precompilados
- Gestionar analizadores personalizados
- Crear una extensión
- Controlar el acceso a la gestión de analizadores
Tipos de analizadores
Tipos de analizadores y sus funciones:
| Tipo de analizador | Descripción |
|---|---|
| Predefinida | Analizadores creados por Google SecOps que incluyen asignaciones integradas para transformar los datos de registro originales en campos UDM. |
| Predefinida ampliada | Un analizador precompilado creado por los clientes con instrucciones de asignación adicionales para extraer datos adicionales de un registro sin procesar original e insertarlos en el registro del UDM. |
| Personalizado | Analizadores creados por clientes con instrucciones de asignación de datos personalizadas para transformar datos de registro originales en campos de UDM. |
| Personalizada ampliada | Un analizador personalizado creado por los clientes con instrucciones de asignación adicionales mediante una extensión de analizador para extraer datos adicionales de un registro sin procesar original e insertarlos en el registro de UDM. |
Niveles de compatibilidad con analizadores
Google SecOps ofrece estos niveles de asistencia para analizadores:
| Tipo de analizador | Descripción y asistencia |
|---|---|
| Analizadores premium | Google SecOps proporciona analizadores de alta calidad de las fuentes de datos de gran volumen más utilizadas. Las solicitudes de los clientes para obtener analizadores premium suelen procesarse en un plazo de unos días. |
| Analizadores estándar | En el caso de otras fuentes de datos admitidas, Google SecOps ofrece asistencia con el mejor servicio posible, con un plazo de respuesta habitual de unas semanas. Para satisfacer necesidades inmediatas, puedes usar extensiones de analizador de autoservicio y funciones de extracción automática. |
| Analizadores y extensiones creados por los clientes | Google SecOps no ofrece asistencia para estas integraciones. Te recomendamos que lo hagas por tu cuenta o con la ayuda de partners de Google. |
Para ver una lista completa de los analizadores Premium y Estándar, consulta Configuración predeterminada del analizador.
Para obtener una descripción general del análisis de registros sin procesar en el formato de modelo de datos unificado (UDM), consulta Descripción general del análisis de registros.
Gestionar las actualizaciones del analizador precompilado
Google SecOps suele actualizar sus analizadores predefinidos durante la cuarta semana de cada mes. Estas actualizaciones se ponen a disposición de los clientes para que puedan acceder a ellas de forma anticipada y probarlas. Cuando estén disponibles las próximas actualizaciones de los analizadores, se marcarán como Pendientes en la lista de analizadores. Puedes examinar las diferencias entre las versiones anteriores y las más recientes del analizador, o bien activar la actualización del analizador antes de tiempo para probarlo, o saltarte la actualización y crear un analizador personalizado.
Para ver la actualización pendiente, haz lo siguiente:
Inicia sesión en tu instancia de Google SecOps.
Selecciona Configuración > Configuración de SIEM > Analizadores.
Haz clic en Filtrar.
Seleccione Predefinidas, Activas y Predefinidas ampliadas en la lista.
Se muestra una lista de analizadores activos (predeterminados) y precompilados. Las próximas actualizaciones de los analizadores se marcan como Pendiente en la columna Actualización.
Haz clic en Menú y selecciona Ver actualización pendiente en la lista.
Se mostrará la página Comparar analizadores. Aquí puede ver lo siguiente:
La diferencia de código entre la versión actual y la próxima versión del analizador.
Los registros de cambios de la pestaña Registros de cambios.
El evento de UDM generado para el registro sin procesar muestreado.
La fecha y la hora en que se creó el analizador.
Fecha y hora en las que se actualizó el código del analizador por última vez.
Puedes activar la actualización del analizador antes de tiempo, omitirla y crear un analizador personalizado, o esperar a que se aplique automáticamente durante la cuarta semana del mes.
Activar la actualización del analizador antes de lo previsto
La función de gestión de analizadores te permite activar la actualización del analizador antes de tiempo. Por ejemplo, si quieres probarlo.
Para activar la actualización del analizador antes de tiempo, sigue estos pasos:
En la página Comparar analizadores, haz clic en Activar actualización del analizador.
Aparecerá el cuadro de diálogo Confirmar actualización del analizador.
Haz clic en Confirmar.
El analizador se activa para el proceso de normalización después de 20 minutos.
Saltar las actualizaciones del analizador precompilado
Para saltarte las actualizaciones actuales y futuras del analizador precompilado, crea un analizador personalizado de la siguiente manera:
En la página Comparar analizadores, haga clic en Saltar actualización.
Se abrirá la ventana Saltar actualización y crear analizador personalizado.
Haz clic en Crear analizador personalizado.
En Tipo de analizador con el que empezar, selecciona el Analizador predefinido actual o el Analizador pendiente de actualización.
Haz clic en Crear.
La versión seleccionada se activa para el proceso de normalización después de 20 minutos. Aparece como Personalizado y Activo en la lista de analizadores de la página Analizadores. La versión precompilada anterior aparece como Precompilada e Inactiva.
Revertir una actualización anticipada del analizador predefinido
Si has activado la actualización del analizador antes de tiempo, puedes volver a la versión anterior hasta la cuarta semana del mes, cuando la actualización se active automáticamente.
Para volver a la versión anterior del analizador, sigue estos pasos:
En el menú de aplicaciones, selecciona Configuración > Analizadores.
Haz clic en Menú junto al analizador que quieras restaurar.
Haz clic en Ver.
Aparecerá la página Ver analizador precompilado.
Haz clic en Cambiar a la versión anterior.
Aparecerá el cuadro de diálogo Volver a la versión anterior. Puedes hacer clic en Comparar analizadores en el cuadro de diálogo para ver la diferencia entre la versión actual y la anterior.
Haz clic en Confirmar para restaurar la versión anterior del analizador.
El analizador sintáctico vuelve a su versión anterior al cabo de 20 minutos.
Analizadores personalizados
Google SecOps te permite crear analizadores personalizados en los casos en los que no haya un analizador precompilado disponible o cuando quieras tener más control. Los analizadores personalizados aparecen en la lista de analizadores junto con los analizadores precompilados.
Estos son algunos de los usos habituales:
Ingerir datos de registro de un tipo de registro que no tiene un analizador predefinido.
Puedes usar uno de los siguientes métodos:
Crea un analizador personalizado para saltarte las actualizaciones de los analizadores precompilados.
Crear un analizador personalizado basado en instrucciones de asignación
Puede crear un analizador personalizado escribiendo código que convierta el registro sin procesar original en un registro de UDM.
Lecturas complementarias:
- Para obtener más información sobre la estructura de un analizador, consulta el artículo Descripción general del análisis de registros.
- Para obtener más información sobre la sintaxis del analizador, consulta la referencia de sintaxis del analizador.
Cuando crees un analizador, intenta rellenar tantos campos de UDM importantes como sea posible.
Ve a Ajustes.
Ve a Configuración de SIEM.
Haz clic en Crear analizador.
Selecciona un origen de registro adecuado en la lista Origen del registro.
Selecciona Empezar solo con registros sin procesar para crear un nuevo analizador según tus requisitos.
Haz clic en Crear.
Introduce el código en la terminal de código del analizador. Para obtener más información, consulta Crear una instrucción de asignación de fragmento de código.
Opcional: Haz clic en Editar para editar el registro sin procesar o la copia.
Opcional: Haz clic en Cargar para cargar el registro sin procesar más reciente.
Haga clic en Vista previa para ver el resultado de UDM. Si el código es incorrecto, se mostrará un mensaje de error.
En la vista previa, puede usar el complemento de filtro statedump para validar el estado interno de un analizador. Para obtener más información, consulta el artículo sobre cómo validar datos con el complemento statedump.
Haz clic en Validar para validar el analizador personalizado.
El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, hagas los cambios necesarios y, a continuación, valides el analizador personalizado.
Haz clic en Enviar.
El analizador se activa para el proceso de normalización después de 20 minutos.
Crear un analizador personalizado basado en un analizador ya creado
Utilice un analizador como plantilla para crear un analizador personalizado. Este método solo admite el enfoque basado en código. Para empezar, sigue estos pasos:
En el menú de aplicaciones, selecciona Configuración > Analizadores.
Haz clic en Crear analizador.
Selecciona un origen de registro adecuado en la lista Origen del registro.
Seleccione Empezar con un analizador predefinido existente para usar un analizador como base y crear un nuevo analizador personalizado.
Haz clic en Crear.
Edita el código en el terminal de código del analizador. Para obtener más información, consulta Crear una instrucción de asignación de fragmento de código.
Opcional: Haz clic en Editar para editar el registro sin procesar.
Opcional: Haz clic en Actualizar para actualizar el registro sin procesar.
A medida que añadas código para crear el analizador, haz clic en Vista previa para ver el resultado de UDM. Si el código es incorrecto, se mostrará un mensaje de error.
En la vista previa, puedes usar el complemento de filtro statedump para validar el estado interno de un analizador. Para obtener más información, consulta Validar datos con el complemento statedump.
Haz clic en Validar para validar el analizador personalizado.
El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, hagas los cambios necesarios y, a continuación, lo valides.
Haz clic en Enviar.
El analizador se activa para el proceso de normalización después de 20 minutos.
Desactivar un analizador personalizado
En el menú de aplicaciones, selecciona Configuración > Analizadores.
Haz clic en Menú junto al analizador que quieras inhabilitar y selecciona Inhabilitar en la lista.
Aparecerá el cuadro de diálogo Inactivar analizador.
Haz clic en Inactivar.
El analizador personalizado se desactiva y la versión precompilada actual se activa después de 20 minutos. El analizador precompilado se convierte en el analizador predeterminado. El analizador personalizado se desactiva y la versión precompilada actual se activa después de 20 minutos. El analizador precompilado se convierte en el analizador predeterminado.
Eliminar un analizador personalizado
En el menú de aplicaciones, selecciona Configuración > Analizadores.
Haz clic en Menú junto al analizador personalizado que quieras eliminar y selecciona Eliminar en la lista. Nota: No puedes eliminar un analizador precompilado.
Aparecerá el cuadro de diálogo Eliminar analizador personalizado.
Haz clic en Eliminar.
El analizador personalizado se elimina y la versión precompilada actual del analizador se activa al cabo de 20 minutos.
Crear una extensión
Las extensiones de analizador proporcionan una forma flexible de ampliar las funciones de los analizadores precompilados (predeterminados) y personalizados. No sustituyen a los analizadores precompilados ni personalizados. En su lugar, permiten extraer sin problemas campos adicionales del registro sin procesar original al registro de UDM. Una extensión de analizador es diferente de un analizador personalizado.
Para crear una extensión de analizador, consulta Usar extensiones de analizador.
Controlar el acceso a la gestión de analizadores
De forma predeterminada, los usuarios con los roles Administrador y Editor pueden gestionar las actualizaciones del analizador. Se pueden conceder nuevos permisos para controlar quién puede ver y gestionar estas actualizaciones.
Para obtener más información sobre cómo gestionar usuarios y grupos, o asignar roles, consulta la guía del usuario sobre el control de acceso basado en roles.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.