Gestire gli analizzatori predefiniti e personalizzati

Supportato in:

Questo documento descrive come: Questo documento descrive come:

  • Crea e gestisci analizzatori personalizzati.
  • Ricevi l'accesso in anteprima agli aggiornamenti imminenti degli analizzatori predefiniti avviati da Google Security Operations.
  • Estendi le istruzioni di mappatura creando un'estensione del parser per un parser predefinito o personalizzato.
  • Controlla l'accesso alla gestione degli analizzatori.
  • Crea e gestisci analizzatori personalizzati.
  • Ricevi l'accesso in anteprima agli aggiornamenti imminenti degli analizzatori predefiniti avviati da Google Security Operations.
  • Estendi le istruzioni di mappatura creando un'estensione del parser per un parser predefinito o personalizzato.
  • Controlla l'accesso alla gestione degli analizzatori.

Tipi di parser: Tipi di parser:

dei dati dei log originali ai campi [UDM](/chronicle/docs/event-processing/udm-overview).
Tipo di parser Descrizione
Predefinito Analizzatori creati da Google Security Operations e contenenti istruzioni di mappatura dei dati integrate per trasformare i dati dei log originali nei campi [UDM](/chronicle/docs/event-processing/udm-overview).
Predefinito esteso Un parser predefinito creato dai clienti con istruzioni di mappatura aggiuntive per estrarre ulteriori dati da un log non elaborato originale e inserirli nel record UDM.
Personalizzato Analizzatori sintattici creati dai clienti con istruzioni di mappatura dei dati personalizzate per trasformare i dati dei log originali in campi UDM.
Personalizzato esteso Un parser personalizzato creato dai clienti con istruzioni di mappatura aggiuntive che utilizza un'estensione del parser per estrarre ulteriori dati da un log non elaborato originale e inserirli nel record UDM.

Gestire gli aggiornamenti degli analizzatori predefiniti

Gestire gli aggiornamenti degli analizzatori predefiniti

In genere, Google Security Operations aggiorna i suoi analizzatori predefiniti durante la quarta settimana di ogni mese. Questi aggiornamenti vengono inizialmente resi disponibili per i clienti per l'accesso in anteprima e per i test. Man mano che diventano disponibili, gli aggiornamenti imminenti dei parser vengono contrassegnati come aggiornamenti in attesa nell'elenco dei parser. Puoi esaminare la differenza tra le versioni precedenti e quelle più recenti del parser, attivare l'aggiornamento del parser in anticipo per testarlo oppure saltare l'aggiornamento e creare un parser personalizzato. In genere, Google Security Operations aggiorna i suoi analizzatori predefiniti durante la quarta settimana di ogni mese. Questi aggiornamenti vengono inizialmente resi disponibili per i clienti per l'accesso in anteprima e per i test. Man mano che diventano disponibili, gli aggiornamenti imminenti dei parser vengono contrassegnati come aggiornamenti in attesa nell'elenco dei parser. Puoi esaminare la differenza tra le versioni precedenti e quelle più recenti del parser, attivare l'aggiornamento del parser in anticipo per testarlo oppure saltare l'aggiornamento e creare un parser personalizzato.

Per visualizzare l'aggiornamento in sospeso:

  1. Accedi alla tua istanza Google Security Operations.

  2. Nel menu dell'applicazione , seleziona Impostazioni > Parsatori.

  3. Fai clic su Filtra.

  4. Seleziona Predefinito, Attivo e Predefinito esteso dall'elenco.

    Viene visualizzato un elenco di analizzatori predefiniti attivi. Gli aggiornamenti imminenti del parser sono contrassegnati come Pending (In attesa) nella colonna Update (Aggiornamento).

  5. Fai clic su Menu e seleziona Visualizza aggiornamento in attesa dall'elenco.

    Viene visualizzata la pagina Confronta analizzatori. Qui puoi visualizzare quanto segue:

    • La differenza di codice tra la versione attuale e quella futura dell'analizzatore.

    • I log delle modifiche nella scheda Log delle modifiche.

    • L'evento UDM generato per il log non elaborato campionato.

    • La data e l'ora di creazione dell'analizzatore.

    • La data e l'ora dell'ultimo aggiornamento del codice dell'analizzatore.

    Puoi attivare l'aggiornamento del parser in anticipo, saltare l'aggiornamento e creare un parser personalizzato oppure attendere che l'aggiornamento venga applicato automaticamente durante la quarta settimana del mese.

Attivare l'aggiornamento dell'analizzatore in anticipo

La funzionalità di gestione del parser ti consente di attivare in anteprima l'aggiornamento del parser. Ad esempio, se vuoi testarlo.

Per attivare in anteprima l'aggiornamento dell'analizzatore:

  1. Nella pagina Confronta analizzatori, fai clic su Attiva l'aggiornamento dell'analizzatore.

    Viene visualizzata la finestra di dialogo Conferma aggiornamento dell'analizzatore.

  2. Fai clic su Conferma.

    Il parser viene attivato per il processo di normalizzazione dopo 20 minuti.

Saltare gli aggiornamenti degli analizzatori predefiniti

Per ignorare gli aggiornamenti attuali e futuri dei parser predefiniti, crea un parser personalizzato come segue:

  1. Nella pagina Confronta analizzatori, fai clic su Salta aggiornamento.

    Viene visualizzata la finestra Salta l'aggiornamento e crea un parser personalizzato.

  2. Fai clic su Crea parser personalizzato.

  3. Per Tipo di parser da utilizzare per iniziare, seleziona l'attuale Parser precompilato o l'Aggiornamento del parser in attesa.

  4. Fai clic su Crea.

    La versione selezionata viene attivata per il processo di normalizzazione dopo 20 minuti. Viene visualizzato come Personalizzato e Attivo nell'elenco dei parser nella pagina Parser. La versione predefinita precedente viene visualizzata come Predefinita e Non attiva.

Ripristinare un aggiornamento precedente dell'analizzatore precompilato

Se hai attivato l'aggiornamento del parser in anticipo, puoi comunque ripristinare la versione precedente fino alla quarta settimana del mese, quando l'aggiornamento viene attivato automaticamente.

Per tornare alla versione precedente dell'analizzatore, segui questi passaggi:

  1. Nel menu dell'applicazione , seleziona Impostazioni > Parsatori.

  2. Fai clic su Menu accanto al parser per cui vuoi ripristinare la versione precedente.

  3. Fai clic su Visualizza.

    Viene visualizzata la pagina Visualizza l'analizzatore sintattico predefinito.

  4. Fai clic su Ripristina la versione precedente.

    Viene visualizzata la finestra di dialogo Ripristina precedente. Puoi fare clic su Confronta analizzatori nella finestra di dialogo per vedere la differenza tra la versione corrente e quella precedente.

  5. Fai clic su Conferma per ripristinare la versione precedente dell'analizzatore.

    Dopo 20 minuti, il parser viene ripristinato alla versione precedente.

Analizzatori personalizzati

Google Security Operations offre la flessibilità di creare un parser personalizzato per diversi motivi, tra cui:

I parser personalizzati vengono visualizzati nell'elenco dei parser.

Crea un parser personalizzato in base alle istruzioni di mappatura

Puoi creare un parser personalizzato scrivendo codice che converta il log grezzo originale in un record UDM. Per la struttura di un parser, consulta la Panoramica dell'analisi dei log e il Riferimento alla sintassi del parser per informazioni sulla sintassi. Quando crei un parser, assicurati che le istruzioni di mappatura dei dati completino il maggior numero possibile di campi UDM importanti.

  1. Vai a Impostazioni SIEM.

  2. Vai a Impostazioni SIEM.

  3. Fai clic su Crea analizzatore.

  4. Seleziona una sorgente log appropriata dall'elenco Sorgente log.

  5. Seleziona Inizia solo con i log non elaborati per creare un nuovo parser in base alle tue esigenze.

  6. Fai clic su Crea.

  7. Inserisci il codice nel terminale del codice del parser. Per ulteriori informazioni, vedi Creare un'istruzione di mappatura di snippet di codice.

  8. Inserisci il codice nel terminale del codice del parser. Per ulteriori informazioni, vedi Creare un'istruzione di mappatura di snippet di codice.

  9. (Facoltativo) Fai clic su per modificare il log non elaborato o la copia esistente.

  10. (Facoltativo) Fai clic su per caricare l'ultimo log non elaborato.

  11. Fai clic su Anteprima per visualizzare l'output di UDM. Se il codice non è corretto, viene visualizzato un messaggio di errore.

    Nell'anteprima, puoi utilizzare il plug-in del filtro statedump per convalidare lo stato interno di un parser. Per ulteriori informazioni, consulta Convalidare i dati utilizzando il plug-in statedump.

  12. Fai clic su Convalida per convalidare l'analizzatore personalizzato.

    La procedura di convalida può richiedere alcuni minuti, pertanto ti consigliamo di visualizzare prima l'anteprima del parser personalizzato, apportare le modifiche necessarie e poi convalidarlo.

  13. Fai clic su Invia.

    L'analizzatore viene attivato per il processo di normalizzazione dopo 20 minuti. L'analizzatore viene attivato per il processo di normalizzazione dopo 20 minuti.

Creare un parser personalizzato da un parser esistente

Creare un parser personalizzato da un parser esistente

Puoi utilizzare un parser esistente come modello per crearne uno nuovo. Puoi creare un parser personalizzato solo utilizzando l'approccio di codice. Per creare un parser personalizzato da un parser esistente:

  1. Nel menu dell'applicazione , seleziona Impostazioni > Parsatori.

  2. Fai clic su Crea analizzatore.

  3. Seleziona una sorgente log appropriata dall'elenco Sorgente log.

  4. Seleziona Inizia con un analizzatore sintattico precompilato esistente per utilizzare un analizzatore sintattico esistente come base per creare un nuovo analizzatore sintattico personalizzato.

  5. Fai clic su Crea.

  6. Modifica il codice nel terminal del codice del parser. Per ulteriori informazioni, vedi Creare un'istruzione di mappatura di snippet di codice.

  7. (Facoltativo) Fai clic su per modificare il log non elaborato.

  8. (Facoltativo) Fai clic su per aggiornare il log non elaborato.

  9. Man mano che aggiungi il codice per creare il parser, fai clic su Anteprima per visualizzare l'output UDM. Se il codice non è corretto, viene visualizzato un messaggio di errore.

    Nell'anteprima, puoi utilizzare il plug-in del filtro statedump per convalidare lo stato interno di un parser. Per ulteriori informazioni, consulta Convalidare i dati utilizzando il plug-in statedump.

  10. Fai clic su Convalida per convalidare l'analizzatore personalizzato.

    La procedura di convalida può richiedere alcuni minuti, pertanto ti consigliamo di visualizzare prima l'anteprima dell'analizzatore personalizzato, apportare le modifiche necessarie e poi convalidarlo.

  11. Fai clic su Invia.

    Il parser viene attivato per il processo di normalizzazione dopo 20 minuti. Il parser viene attivato per il processo di normalizzazione dopo 20 minuti.

Disattivare un parser personalizzato

  1. Nel menu dell'applicazione , seleziona Impostazioni > Parser.

  2. Fai clic su Menu accanto al parser che vuoi disattivare e seleziona Disattiva dall'elenco.

    Viene visualizzata la finestra di dialogo Rendi inattivo l'analizzatore.

  3. Fai clic su Rendi inattivo.

L'analizzatore personalizzato viene disattivato e l'attuale versione dell'analizzatore precompilato viene attivata dopo 20 minuti. Il parser precompilato diventa ora il parser predefinito. L'analizzatore personalizzato viene disattivato e l'attuale versione dell'analizzatore precompilato viene attivata dopo 20 minuti. Il parser precompilato diventa ora quello predefinito.

Eliminare un parser personalizzato

  1. Nel menu dell'applicazione , seleziona Impostazioni > Parsatori.

  2. Fai clic su Menu accanto al parser personalizzato che vuoi eliminare e seleziona Elimina dall'elenco. Nota: non puoi eliminare un parser predefinito.

  3. Fai clic su Menu accanto al parser personalizzato che vuoi eliminare e seleziona Elimina dall'elenco. Nota: non puoi eliminare un parser predefinito.

    Viene visualizzata la finestra di dialogo Elimina analizzatore personalizzato.

  4. Fai clic su Elimina.

L'analizzatore personalizzato viene eliminato e l'attuale versione dell'analizzatore precompilato viene attivata dopo 20 minuti. L'analizzatore personalizzato viene eliminato e l'attuale versione dell'analizzatore precompilato viene attivata dopo 20 minuti.

Creare un'estensione

Le estensioni del parser offrono un modo flessibile per estendere le funzionalità dei parser predefiniti (predefiniti) e personalizzati esistenti. Non sostituiscono gli analizzatori predefiniti o personalizzati, ma consentono l'estrazione senza problemi di campi aggiuntivi dal log non elaborato originale nel record UDM. Un'estensione del parser è diversa da un parser personalizzato. Per creare un'estensione del parser, consulta Utilizzare le estensioni del parser. Le estensioni del parser offrono un modo flessibile per estendere le funzionalità dei parser predefiniti (predefiniti) e personalizzati esistenti. Non sostituiscono gli analizzatori predefiniti o personalizzati, ma consentono l'estrazione senza problemi di campi aggiuntivi dal log non elaborato originale nel record UDM. Un'estensione del parser è diversa da un parser personalizzato. Per creare un'estensione del parser, consulta Utilizzare le estensioni del parser.

Controllare l'accesso alla gestione del parser

Per impostazione predefinita, gli utenti con i ruoli Amministratore ed Editor possono gestire gli aggiornamenti del parser. È possibile concedere nuove autorizzazioni per controllare chi può visualizzare e gestire questi aggiornamenti. Per ulteriori informazioni sulla gestione di utenti e gruppi o sull'assegnazione dei ruoli, consulta la guida per gli utenti sul controllo degli accessi basato sui ruoli.