Gérer les analyseurs prédéfinis et personnalisés
Ce document explique comment utiliser la fonctionnalité de gestion des analyseurs pour créer des analyseurs personnalisés, ou activer ou désactiver les mises à jour d'analyseur prédéfinies lancées par Google Security Operations.
Les modifications apportées aux analyseurs prédéfinis sont publiées régulièrement en tant que versions candidates. Au cours de la fenêtre "Version candidate", vous pouvez choisir de mettre à jour un ou plusieurs analyseurs avec les modifications en attente. Toutes les quatre semaines, les mises à jour en attente deviennent automatiquement actives lorsque les modifications en attente de l'analyseur sont définies comme valeurs par défaut. Le temps nécessaire à l'évaluation d'une modification dépend du moment où la modification a été publiée pendant la période de publication de la version candidate.
La fonctionnalité de gestion de l'analyseur vous permet d'inspecter et de tester la mise à jour pendant la période d'évaluation de la version finale. Vous pouvez afficher la liste des modifications précédentes apportées à un analyseur prédéfini et afficher les modifications à venir dans la cadence de publication. Vous pouvez ensuite activer ou désactiver la mise à jour.
Google Security Operations vous permet également de créer un analyseur personnalisé pour un type de journal ne disposant pas d'un analyseur prédéfini. Vous pouvez créer un analyseur entièrement nouveau directement à partir du journal brut ou utiliser un analyseur existant comme base pour un nouvel analyseur personnalisé. Vous pouvez étendre les instructions de mappage en créant une extension d'analyseur pour un analyseur prédéfini ou personnalisé.
Les différents types d'analyseurs sont les suivants:
| Type d'analyseur | Description |
|---|---|
| Prédéfini | Les analyseurs créés par Google Security Operations et contenant des instructions intégrées de mappage de données pour transformer les données de journaux d'origine en champs UDM |
| Modèle étendu prédéfini | Analyseur prédéfini créé par les clients avec des instructions de mappage supplémentaires pour extraire des données supplémentaires d'un journal brut d'origine et les insérer dans l'enregistrement UDM. |
| Personnalisée | Analyseurs créés par les clients avec des instructions personnalisées de mappage de données pour transformer les données de journaux d'origine en champs UDM. |
| Extension personnalisée | Analyseur personnalisé créé par les clients avec des instructions de mappage supplémentaires utilisant une extension d'analyseur pour extraire des données supplémentaires d'un journal brut d'origine et les insérer dans l'enregistrement UDM. |
Avant de commencer
Les documents suivants expliquent les concepts préalables importants pour gérer les mises à jour de l'analyseur:
Créer un analyseur personnalisé en fonction des instructions de mappage
Vous pouvez créer un analyseur personnalisé en écrivant du code qui convertit le journal brut d'origine en enregistrement UDM. Pour en savoir plus sur la structure d'un analyseur, consultez les pages Présentation de l'analyse des journaux et Documentation de référence sur la syntaxe de l'analyseur pour en savoir plus sur la syntaxe. Lorsque vous créez un analyseur, assurez-vous que les instructions de mappage de données renseignent autant de champs UDM importants que possible.
Dans la barre de navigation, sélectionnez Paramètres > Paramètres SIEM.
Cliquez sur Créer un analyseur.
Sélectionnez une source de journal appropriée dans la liste Source de journal.
Sélectionnez Commencer avec des journaux bruts uniquement pour créer un analyseur en fonction de vos besoins.
Cliquez sur Créer.
Saisissez le code dans le terminal du code de l'analyseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extraits de code.
Facultatif: Cliquez sur pour modifier la copie ou le journal brut existant.
Facultatif: Cliquez sur pour charger le dernier journal brut.
Cliquez sur Preview (Aperçu) pour afficher le résultat de l'UDM. Un message d'erreur s'affiche si le code est incorrect.
Dans l'aperçu, vous pouvez utiliser le plug-in de filtre étatump pour valider l'état interne d'un analyseur. Pour en savoir plus, consultez Valider les données à l'aide du plug-in Indiquerump.
Cliquez sur Valider pour valider l'analyseur personnalisé.
Le processus de validation peut prendre quelques minutes. Nous vous recommandons donc de prévisualiser d'abord l'analyseur personnalisé, d'apporter des modifications si nécessaire, puis de valider l'analyseur personnalisé.
Cliquez sur Envoyer.
L'analyseur est sélectionné pour la normalisation au bout de 20 minutes.
Créer un analyseur personnalisé à partir d'un analyseur existant
Vous pouvez utiliser un analyseur existant comme modèle pour en créer un. Vous pouvez créer un analyseur personnalisé en utilisant uniquement l'approche basée sur le code. Pour créer un analyseur personnalisé à partir d'un analyseur existant, procédez comme suit:
Dans le menu de l'application , sélectionnez Settings > Ansers (Paramètres > Analyseurs).
Cliquez sur Créer un analyseur.
Sélectionnez une source de journal appropriée dans la liste Source de journal.
Sélectionnez Commencer avec un analyseur prédéfini pour créer un analyseur personnalisé à partir d'un analyseur existant.
Cliquez sur Créer.
Modifiez le code dans le terminal du code de l'analyseur. Pour en savoir plus, consultez Créer une instruction de mappage d'extraits de code.
Facultatif: Cliquez sur pour modifier le journal brut.
Facultatif: Cliquez sur pour actualiser le journal brut.
Lorsque vous ajoutez du code pour créer l'analyseur, cliquez sur Preview (Aperçu) pour afficher la sortie UDM. Un message d'erreur s'affiche si le code est incorrect.
Dans l'aperçu, vous pouvez utiliser le plug-in de filtre étatump pour valider l'état interne d'un analyseur. Pour en savoir plus, consultez Valider les données à l'aide du plug-in Indiquerump.
Cliquez sur Valider pour valider l'analyseur personnalisé.
Le processus de validation peut prendre quelques minutes. Par conséquent, nous vous recommandons de commencer par prévisualiser l'analyseur personnalisé, d'apporter des modifications si nécessaire, puis de valider l'analyseur personnalisé.
Cliquez sur Envoyer.
L'analyseur est sélectionné pour la normalisation au bout de 20 minutes.
Gérer les mises à jour de l'analyseur prédéfini
Lorsque Google Security Operations publie une mise à jour d'un analyseur, les mises à jour sont en attente pendant 15 jours. Pour activer ou désactiver une mise à jour de l'analyseur, examinez la différence entre les versions précédentes et plus récentes de l'analyseur en procédant comme suit:
Connectez-vous à votre instance Google Security Operations.
Dans le menu de l'application , sélectionnez Settings > Ansers (Paramètres > Analyseurs).
Cliquez sur Filtrer.
Sélectionnez Précompilé, Actif et Précompilé et étendu dans la liste.
Vos analyseurs prédéfinis actifs s'affichent. Les analyseurs prédéfinis sont des analyseurs par défaut publiés par Google Security Operations. Si la colonne Update contient l'état Pending, cela signifie que l'analyseur dispose d'une mise à jour que vous pouvez inspecter.
Cliquez sur Menu , puis sélectionnez Afficher les mises à jour en attente dans la liste.
La page Comparer les analyseurs s'affiche. Vous y trouverez les éléments suivants:
Différence de code entre la version actuelle et la version à venir de l'analyseur
Les journaux de modifications de l'onglet Journaux des modifications
Événement UDM généré pour le journal brut échantillonné
Vous pouvez l'activer plus tôt, attendre qu'elle soit appliquée automatiquement dans 15 jours ou la désactiver.
Activer à l'avance les mises à jour de l'analyseur
La fonctionnalité de gestion de l'analyseur vous permet d'activer de façon anticipée une mise à jour de l'analyseur et de la tester. Vous ne pouvez activer de manière anticipée les mises à jour de l'analyseur que si vous utilisez un analyseur prédéfini. Une fois l'activation anticipée effectuée, vous pouvez rétablir la version précédente de l'analyseur dans les 15 jours suivant la publication de la mise à jour. Pour activer la mise à jour à l'avance, procédez comme suit:
Sur la page Comparer les analyseurs, cliquez sur Activer la mise à jour de l'analyseur.
La boîte de dialogue Confirmer la mise à jour de l'analyseur s'affiche.
Cliquez sur Confirmer.
L'analyseur est sélectionné pour la normalisation au bout de 20 minutes.
Désactiver les mises à jour de l'analyseur
Pour désactiver les mises à jour actuelles et futures de l'analyseur, créez un analyseur personnalisé. Vous pouvez utiliser votre version actuelle ou la version mise à jour de l'analyseur comme analyseur personnalisé. Toutes les futures mises à jour apportées à un analyseur personnalisé seront visibles par vous, mais ne seront appliquées que si vous les activez. Pour désactiver les mises à jour actuelles ou futures, procédez comme suit:
Sur la page Comparer les analyseurs, cliquez sur Ignorer la mise à jour.
La fenêtre Passer la mise à jour et créer un analyseur personnalisé s'affiche.
Cliquez sur Créer un analyseur personnalisé.
Pour définir la version de l'analyseur par défaut en tant qu'analyseur personnalisé, sélectionnez Analyseur prédéfini. Pour définir la version mise à jour en tant qu'analyseur personnalisé, sélectionnez Pending Analyse Update (Mise à jour de l'analyseur en attente).
Cliquez sur Créer.
La version sélectionnée est sélectionnée pour la normalisation au bout de 20 minutes. Il apparaît comme Personnalisé et Actif dans la liste des analyseurs de la page Analyseurs. La version prédéfinie précédente apparaît comme Précompilée et Inactive.
Gérer les mises à jour des analyseurs personnalisés
Lorsque vous désactivez les mises à jour de l'analyseur prédéfini, un analyseur personnalisé est créé. Un analyseur personnalisé est visible dans la liste des analyseurs en tant que nouvelle entrée.
Désactiver un analyseur personnalisé
Dans le menu de l'application , sélectionnez Settings > Ansers (Paramètres > Analyseurs).
Cliquez sur Menu pour l'analyseur que vous souhaitez désactiver, puis sélectionnez Make inactive (Rendre inactif) dans la liste.
La boîte de dialogue Rendre l'analyseur inactif s'affiche.
Cliquez sur Désactiver.
L'analyseur personnalisé est désactivé et la version de l'analyseur par défaut est activée au bout de 20 minutes. Autrement dit, l'analyseur personnalisé devient un analyseur prédéfini. Si vous avez créé un analyseur personnalisé à partir d'un analyseur prédéfini avec des mises à jour, celles-ci sont perdues lorsque vous rétablissez l'analyseur personnalisé en analyseur prédéfini. Vous devez de nouveau activer les mises à jour de l'analyseur.
Supprimer un analyseur personnalisé
Dans le menu de l'application , sélectionnez Settings > Ansers (Paramètres > Analyseurs).
Cliquez sur le menu correspondant à l'analyseur que vous souhaitez supprimer, puis sélectionnez Supprimer dans la liste.
La boîte de dialogue Supprimer l'analyseur personnalisé s'affiche.
Cliquez sur Supprimer.
L'analyseur personnalisé est supprimé et la version par défaut de l'analyseur est activée au bout de 20 minutes. Autrement dit, l'analyseur personnalisé devient un analyseur prédéfini. Si vous avez créé un analyseur personnalisé à partir d'un analyseur prédéfini avec des mises à jour, celles-ci sont perdues lorsque vous rétablissez l'analyseur personnalisé en analyseur prédéfini. Vous devez de nouveau activer les mises à jour de l'analyseur.
Créer une extension
Vous pouvez étendre un analyseur personnalisé ou prédéfini en définissant des instructions de mappage personnalisées afin d'extraire des données supplémentaires d'un journal brut d'origine. Vous pouvez insérer les données dans l'enregistrement UDM généré par un analyseur personnalisé. Vous ne pouvez pas créer d'analyseur à l'aide des extensions d'analyseur.
Pour en savoir plus sur la création d'extensions d'analyseur, consultez la page Utiliser les extensions d'analyseur.
Annuler une mise à jour anticipée d'un analyseur prédéfini
Si vous avez activé la mise à jour de l'analyseur de manière anticipée, vous pouvez revenir à la version précédente dans le délai de 15 jours. Pour revenir à la version précédente de l'analyseur, procédez comme suit:
Dans le menu de l'application , sélectionnez Settings > Ansers (Paramètres > Analyseurs).
Cliquez sur le menu correspondant à l'analyseur que vous souhaitez rétablir.
Cliquez sur Afficher.
La page Afficher l'analyseur prédéfini s'affiche.
Cliquez sur Rétablir la version précédente.
La boîte de dialogue Rétablir la version précédente s'affiche. Vous pouvez cliquer sur Comparer les analyseurs dans la boîte de dialogue pour voir la différence entre la version actuelle et les versions précédentes.
Cliquez sur Confirmer pour rétablir la version précédente de l'analyseur.
La version précédente de l'analyseur est rétablie au bout de 20 minutes.
Contrôler l'accès à la gestion des analyseurs
Par défaut, les mises à jour de l'analyseur peuvent être gérées par des utilisateurs disposant des rôles Administrateur et Éditeur. De nouvelles autorisations peuvent être accordées pour contrôler qui peut afficher et gérer les mises à jour de l'analyseur. Pour en savoir plus sur la gestion des utilisateurs et des groupes, ou sur l'attribution de rôles, consultez le guide de l'utilisateur du contrôle des accès basé sur les rôles.