Se usó la API de Cloud Translation para traducir esta página.

Administra analizadores compilados previamente y personalizados

En este documento, se describe cómo puedes usar la función de administración de analizadores para crear analizadores personalizados o habilitar o inhabilitar las actualizaciones de analizadores compiladas previamente iniciadas por Google Security Operations.

Los cambios en los analizadores compilados previamente se lanzan con frecuencia como versiones candidatas. Durante la ventana de la versión candidata, puedes actualizar uno o más analizadores con los cambios pendientes. Cada 4 semanas, las actualizaciones pendientes se activan automáticamente cuando los cambios pendientes del analizador se ascienden a la configuración predeterminada. La cantidad de tiempo para evaluar un cambio depende de cuándo se lanzó el cambio durante la ventana de versión candidata.

La función de administración del analizador te permite inspeccionar y probar la actualización durante la ventana de versiones candidatas. Puedes ver una lista de los cambios anteriores que se realizaron en un analizador compilado previamente, así como los próximos cambios en la cadencia de lanzamiento. Puedes habilitar o inhabilitar la actualización.

Google Security Operations también te brinda la flexibilidad de crear un analizador personalizado para un tipo de registro que no tenga un analizador previamente compilado. Puedes crear un analizador completamente nuevo directamente desde el registro sin procesar o usar uno existente como base para un analizador personalizado nuevo. Puedes extender las instrucciones de asignación creando una extensión de analizador para un analizador compilado previamente o uno personalizado.

Los diferentes tipos de analizadores son los siguientes:

Tipo de analizador	Descripción
Compilado previamente	Analizadores que crea Google Security Operations y contienen instrucciones de asignación de datos integradas para transformar los datos de registro originales en campos de UDM.
Compilado previamente extendido	Un analizador compilado previamente creado por clientes con instrucciones de asignación adicionales para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro UDM.
Personalizado	Analizadores que crean los clientes con instrucciones de asignación de datos personalizadas para transformar los datos de registro originales en campos UDM.
Personalizada extendida	Un analizador personalizado creado por clientes con instrucciones de asignación adicionales mediante una extensión del analizador para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro UDM.

Antes de comenzar

En los siguientes documentos, se explican los conceptos de requisitos previos que son importantes para administrar las actualizaciones de los analizadores:

Crea un analizador personalizado según las instrucciones de asignación

Puedes crear un analizador personalizado si escribes código que convierta el registro original sin procesar en un registro UDM. Para obtener información sobre la estructura de un analizador, consulta Descripción general del análisis de registros y Referencia de sintaxis del analizador. Cuando crees un analizador, asegúrate de que las instrucciones de asignación de datos propaguen la mayor cantidad posible de campos UDM importantes.

En la barra de navegación, selecciona Configuración > Configuración del SIEM.
Haz clic en Create Parser.
Selecciona una fuente de registro apropiada de la lista Fuente de registro.
Selecciona Start with Raw Logs Only para crear un analizador nuevo según tus requisitos.
Haz clic en Crear.
Escribe el código en la terminal de código de Parser. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmentos de código.
Opcional: Haz clic en para editar el registro o la copia existentes sin procesar.
Opcional: Haz clic en para cargar el último registro sin procesar.
Haz clic en Vista previa para ver el resultado de UDM. Si el código es incorrecto, se muestra un mensaje de error.

En la versión preliminar, puedes usar el complemento de filtro statedump para validar el estado interno de un analizador. Para obtener más información, consulta Cómo validar los datos con el complemento de volcado de estado.
Haz clic en Validate para validar el analizador personalizado.

El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices cambios si es necesario y, luego, valides el analizador personalizado.
Haz clic en Enviar.

El analizador se elige para la normalización después de 20 minutos.

Crea un analizador personalizado a partir de uno existente

Puedes usar un analizador existente como plantilla para crear uno nuevo. Puedes crear un analizador personalizado solo con el enfoque de código. Para crear un analizador personalizado a partir de uno existente, sigue estos pasos:

Desde el menú de la aplicación , selecciona Settings > Parsers.
Haz clic en Create Parser.
Selecciona una fuente de registro apropiada de la lista Fuente de registro.
Selecciona Start with an Existing Prebuilt Parser para usar un analizador existente como base y crear un analizador personalizado nuevo.

Nota: Si la fuente del registro seleccionada no tiene un analizador compilado previamente, no se mostrará esta opción.
Haz clic en Crear.
Edita el código en la Terminal de código de Parser. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmentos de código.
Opcional: Haz clic en para editar el registro sin procesar.
Opcional: Haz clic en para actualizar el registro sin procesar.
A medida que agregues código para compilar el analizador, haz clic en Preview para ver el resultado de UDM. Si el código es incorrecto, se muestra un mensaje de error.

En la versión preliminar, puedes usar el complemento de filtro statedump para validar el estado interno de un analizador. Para obtener más información, consulta Cómo validar los datos con el complemento de volcado de estado.
Haz clic en Validate para validar el analizador personalizado.

El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices cambios si es necesario y, luego, valides el analizador personalizado.
Haz clic en Enviar.

El analizador se elige para la normalización después de 20 minutos.

Cómo administrar actualizaciones de analizadores compilados previamente

Cuando Google Security Operations lanza una actualización de un analizador, estas quedan en estado pendiente durante 15 días. Para habilitar o inhabilitar la actualización del analizador, consulta la diferencia entre la versión anterior y la más reciente. Para ello, haz lo siguiente:

Accede a tu instancia de Google Security Operations.
Desde el menú de la aplicación , selecciona Settings > Parsers.
Haz clic en Filtrar.
En la lista, selecciona Prebuilt, Active y Prebuilt Extended.

Se muestran los analizadores precompilados activos. Los analizadores compilados previamente son analizadores predeterminados que lanza Google Security Operations. Si el estado de la columna Update contiene Pending, significa que el analizador tiene una actualización que puedes inspeccionar.
Haz clic en Menú y selecciona Ver actualización pendiente en la lista.

Aparecerá la página Comparar analizadores. Aquí, podrás ver lo siguiente:
- La diferencia de código entre la versión actual y la próxima del analizador
- Los registros de cambios en la pestaña Registros de cambios
- El evento de UDM generado para el registro sin procesar de muestra
Puedes habilitar la actualización con anticipación, esperar a que se aplique automáticamente en 15 días o inhabilitarla.

Acepta las actualizaciones de analizadores anticipadamente

La función de administración del analizador te permite aceptar de manera anticipada una actualización del analizador y probarla. Puedes habilitar las actualizaciones del analizador de manera anticipada solo si usas un analizador previamente compilado. Una vez que habilites la opción anticipada, podrás revertir el analizador a su versión anterior dentro de los 15 días posteriores al lanzamiento de la actualización. Para aceptar la actualización de forma anticipada, sigue estos pasos:

En la página Comparar analizadores, haz clic en Activar la actualización del analizador.

Aparecerá el diálogo Confirm analyzer update.
Haz clic en Confirm.

El analizador se elige para la normalización después de 20 minutos.

Cómo inhabilitar las actualizaciones del analizador

Crea uno personalizado para inhabilitar las actualizaciones actuales y futuras del analizador. Puedes usar tu versión actual o la versión actualizada del analizador como personalizado. Podrás ver todas las actualizaciones futuras de un analizador personalizado, pero no se aplicarán, a menos que las habilites. Para inhabilitar las actualizaciones actuales o futuras, sigue estos pasos:

En la página Comparar analizadores, haz clic en Omitir actualización.

Aparecerá la ventana Omitir actualización y crear analizador personalizado.
Haz clic en Crear analizador personalizado.
Para configurar la versión predeterminada del analizador como personalizado, selecciona Analizador compilado previamente. Para configurar la versión actualizada como el analizador personalizado, selecciona Pending Parser Update.
Haz clic en Crear.

Nota: Si recibes el mensaje A custom agrupar (ya existe un analizador personalizado para esta fuente de registro), significa que existe un analizador personalizado para este analizador y no puedes crear otro.

La versión seleccionada se elige para la normalización después de 20 minutos. Aparece como Custom y Active en la lista de analizadores en la página Analizadores. La versión precompilada anterior aparece como Inactiva y Precompilada.

Administra las actualizaciones de analizadores personalizados

Cuando inhabilitas las actualizaciones de analizadores compilados previamente, se crea un analizador personalizado. Un analizador personalizado se puede ver en la lista de analizadores como una entrada nueva.

Cómo desactivar un analizador personalizado

Desde el menú de la aplicación , selecciona Settings > Parsers.
Haz clic en Menú en el analizador que quieras desactivar y selecciona Hacer inactivo en la lista.

Aparecerá el diálogo Activar el analizador.
Haz clic en Desactivar.

El analizador personalizado se desactiva y su versión predeterminada se activa después de 20 minutos. Es decir, el analizador personalizado se convierte en uno compilado previamente. Si creaste un analizador personalizado a partir de un analizador compilado previamente con actualizaciones, estas se perderán cuando reviertas el analizador personalizado a uno ya compilado. Debes volver a habilitar las actualizaciones del analizador.

Borra un analizador personalizado

Desde el menú de la aplicación , selecciona Settings > Parsers.
Haz clic en Menu en el analizador que deseas borrar y selecciona Delete en la lista.

Aparecerá el diálogo Borrar analizador personalizado.
Haz clic en Borrar.

Se borrará el analizador personalizado y su versión predeterminada se activará después de 20 minutos. Es decir, el analizador personalizado se convierte en uno compilado previamente. Si creaste un analizador personalizado a partir de un analizador compilado previamente con actualizaciones, estas se perderán cuando reviertas el analizador personalizado a uno ya compilado. Debes volver a habilitar las actualizaciones del analizador.

Crea una extensión

Puedes extender un analizador personalizado o compilado previamente si defines las instrucciones de asignación personalizadas para extraer datos adicionales de un registro sin procesar original. Puedes insertar los datos en el registro UDM generado por un analizador personalizado. No puedes crear un analizador nuevo con extensiones del analizador.

Para obtener información sobre cómo crear extensiones de analizadores, consulta Cómo usar extensiones de analizadores.

Cómo revertir una actualización anticipada de un analizador compilado previamente

Si aceptaste anticipadamente la actualización del analizador, puedes volver a la versión anterior dentro del período de 15 días. Para volver a la versión anterior del analizador, sigue estos pasos:

Desde el menú de la aplicación , selecciona Settings > Parsers.
Haz clic en Menu en el analizador que deseas revertir.
Haz clic en Ver.

Aparecerá la página Ver analizador compilado previamente.
Haz clic en Revert to previous version (Volver a la versión anterior).

Aparecerá el diálogo Revert to previous. Puedes hacer clic en Compare Parsers en el diálogo para ver la diferencia entre la versión actual y la anterior.
Haz clic en Confirmar para revertir el analizador a su versión anterior.

El analizador se revierte a su versión anterior después de 20 minutos.

Controla el acceso a la administración de analizadores

De forma predeterminada, los usuarios con funciones de Administrador y Editor pueden administrar las actualizaciones del analizador. Se pueden otorgar permisos nuevos para controlar quién puede ver y administrar las actualizaciones del analizador. Para obtener más información sobre la administración de usuarios y grupos o la asignación de funciones, consulta la guía del usuario de control de acceso basado en funciones.