事前構築済みパーサーとカスタム パーサーを管理する

このドキュメントでは、パーサー管理機能を使用してカスタム パーサーを作成する方法や、Google Security Operations が開始した事前構築済みパーサーの更新をオプトインまたはオプトアウトする方法について説明します。

事前構築済みパーサーの変更は、リリース候補として定期的にリリースされます。リリース候補期間中に、保留中の変更で 1 つ以上のパーサーを更新できます。4 週間ごとに、保留中のパーサーの変更がデフォルトに昇格されると、保留中の更新が自動的に有効になります。変更を評価する時間は、リリース候補期間中に変更がリリースされた時期によって異なります。

パーサー管理機能を使用すると、リリース候補期間中に更新を検査およびテストできます。事前構築済みパーサーの過去の変更のリストと、リリース サイクルの今後の変更を確認できます。その後、更新をオプトインまたはオプトアウトできます。

また、Google Security Operations では、事前構築済みパーサーがないログタイプに対してカスタム パーサーを柔軟に作成できます。まったく新しいパーサーを未加工ログから直接作成することも、既存のパーサーを新しいカスタム パーサーのベースとして使用することもできます。事前構築済みパーサーまたはカスタム パーサー用のパーサー拡張機能を作成することで、マッピング指示を拡張できます。

パーサーには次の種類があります。

パーサーのタイプ	説明
事前構築済み	Google Security Operations によって作成され、元のログデータを UDM フィールドに変換するためのデータ マッピング指示が組み込まれたパーサー。
事前構築済み拡張	追加のマッピング指示を使用してお客様が作成した事前構築済みパーサー。元の未加工ログから追加データを抽出し、UDM レコードに挿入します。
カスタム	元のログデータを UDM フィールドに変換するためのカスタム データ マッピング指示を使用して、お客様が作成するパーサー。
カスタム拡張	パーサー拡張機能を使用して追加のマッピング指示を行い、元の未加工ログから追加データを抽出し UDM レコードに挿入する、お客様が作成するカスタム パーサー。

準備

次のドキュメントでは、パーサーの更新を管理するために重要な前提条件のコンセプトについて説明しています。

• 統合データモデルの概要
• ログ解析の概要

マッピング指示に基づいてカスタム パーサーを作成する

カスタム パーサーを作成するには、元の未加工ログを UDM レコードに変換するコードを記述します。パーサーの構造については、ログ解析の概要をご覧ください。また、構文についてはパーサー構文リファレンスをご覧ください。パーサーを作成するときは、データ マッピング指示によって可能な限り多くの重要な UDM フィールドに入力するようにしてください。

1. ナビゲーション バーで、[Settings] > [SIEM Settings] を選択します。

2. [パーサーを作成] をクリックします。

3. [ログソース] リストから適切なログソースを選択します。

4. [Start with Raw Logs Only] を選択し、要件に基づいて新しいパーサーを作成します。

5. [作成] をクリックします。

6. パーサーコード ターミナルでコードを入力します。詳細については、コード スニペット マッピング指示を作成するをご覧ください。

7. 省略可: [edit] をクリックして、既存の未加工のログまたはコピーを編集します。

8. 省略可: [refresh] をクリックして、最新の未加工ログを読み込みます。

9. [プレビュー] をクリックして UDM の出力を表示します。コードが正しくない場合は、エラー メッセージが表示されます。

   プレビューでは、statedump フィルタ プラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。

10. [Validate] をクリックして、カスタム パーサーを検証します。

    検証プロセスには数分かかる場合があるため、最初にカスタム パーサーをプレビューして、必要に応じて変更してから、カスタム パーサーを検証することをおすすめします。

11. [送信] をクリックします。

    パーサーは、20 分後に正規化のために選択されます。

既存のパーサーからカスタム パーサーを作成する

既存のパーサーをテンプレートとして使用して、新しいパーサーを作成できます。カスタム パーサーは、コードアプローチのみを使用して作成できます。既存のパーサーからカスタム パーサーを作成するには、次の手順に沿って操作します。

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. [パーサーを作成] をクリックします。

3. [ログソース] リストから適切なログソースを選択します。

4. [既存のビルド済みパーサーで開始] を選択し、既存のパーサーをベースとして使用して新しいカスタム パーサーを作成します。

5. [作成] をクリックします。

6. パーサーコード ターミナルでコードを編集します。詳細については、コード スニペット マッピング指示を作成するをご覧ください。

7. 省略可: [edit] をクリックして、未加工のログを編集します。

8. 省略可: [refresh] をクリックして、未加工のログを更新します。

9. パーサーを構築するコードを追加したら、[Preview] をクリックして UDM の出力を表示します。コードが正しくない場合は、エラー メッセージが表示されます。

   プレビューでは、statedump フィルタ プラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。

10. [Validate] をクリックして、カスタム パーサーを検証します。

    検証プロセスには数分かかることがあります。そのため、まずカスタム パーサーをプレビューし、必要に応じて変更してから、カスタム パーサーを検証することをおすすめします。

11. [送信] をクリックします。

    パーサーは、20 分後に正規化のために選択されます。

事前構築済みパーサーの更新を管理する

Google Security Operations がパーサーの更新をリリースした場合、更新は 15 日間保留状態になります。パーサーの更新をオプトインまたはオプトアウトするには、次の手順で以前のパーサー バージョンと新しいパーサー バージョンの違いを調べます。

1. Google Security Operations インスタンスにログインします。

2. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

3. filter_alt [フィルタ] をクリックします。

4. リストから [Prebuilt]、[Active]、[Prebuilt Extended] を選択します。

   アクティブな事前構築済みパーサーが表示されます。事前構築済みパーサーは、Google Security Operations によってリリースされるデフォルトのパーサーです。[更新] 列にステータスが [保留中] と表示されている場合は、パーサーに検査可能な更新があることを示します。

5. more_vert [メニュー] をクリックし、リストから [保留中の更新を表示] を選択します。

   [比較パーサー] ページが表示されます。ここで、次の内容を表示できます。

   • 現在のパーサーと今後のパーサーのバージョンによるコードの違い

   • [変更履歴] タブの変更履歴

   • サンプリングされた未加工ログに対して生成された UDM イベント

   更新を早期に有効にすることも、15 日以内に自動適用されるまで待つか、無効にすることもできます。

パーサーの更新を早期にオプトインする

パーサー管理機能を使用すると、パーサーの更新を早期にオプトインしてテストできます。パーサーの更新を早期にオプトインできるのは、事前に構築されたパーサーを使用している場合のみです。早期にオプトインすると、パーサーは更新リリースから 15 日以内であれば以前のバージョンに戻すことができます。更新の早期オプトインは、次の手順で行います。

1. [Compare parsers] ページで、[Make parser update active] をクリックします。

   [Confirm parser update] ダイアログが表示されます。

2. [確認] をクリックします。

   パーサーは、20 分後に正規化のために選択されます。

パーサーの更新をオプトアウトする

現在および将来のパーサーの更新をオプトアウトするには、カスタム パーサーを作成します。現在のパーサーまたは更新されたバージョンのパーサーをカスタム パーサーとして使用できます。カスタム パーサーに対する今後の更新はすべて表示されますが、オプトインしない限り適用されません。現在または将来の更新をオプトアウトするには、次の手順を行います。

1. [Compare parsers] ページで、[Skip update] をクリックします。

   [Skip update and create custom parser] ウィンドウが表示されます。

2. [カスタム パーサーを作成] をクリックします。

3. デフォルトのパーサー バージョンをカスタム パーサーとして設定するには、[Prebuilt Parser] を選択します。更新されたバージョンをカスタム パーサーとして設定するには、[Pending Parser Update] を選択します。

4. [作成] をクリックします。

   選択したバージョンは、20 分後に正規化のために選択されます。これは、[パーサー] ページのパーサー リストに、[カスタム] と [アクティブ] と表示されます。以前のビルド済みバージョンは、[ビルド済み] と [非アクティブ] と表示されます。

カスタム パーサーの更新を管理する

事前構築済みパーサーの更新を無効にすると、カスタム パーサーが作成されます。カスタム パーサーがパーサー リストに新しいエントリとして表示されます。

カスタム パーサーを無効にする

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 無効にするパーサーに対して more_vert [Menu] をクリックし、リストから [Make 非アクティブ] を選択します。

   [Make parser 非アクティブ] ダイアログが表示されます。

3. [非アクティブにする] をクリックします。

カスタム パーサーが無効化され、デフォルトのパーサー バージョンが 20 分後に有効になります。つまり、カスタム パーサーは事前に構築されたパーサーになります。更新を含むビルド済みパーサーからカスタム パーサーを作成した場合、カスタム パーサーをビルド済みパーサーに戻すと、更新が失われます。パーサーの更新を再度オプトインする必要があります。

カスタム パーサーを削除する

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 削除するパーサーに対して more_vert [Menu] をクリックし、リストから [Delete] を選択します。

   [カスタム パーサーの削除] ダイアログが表示されます。

3. [削除] をクリックします。

カスタム パーサーが削除され、20 分後にデフォルトのパーサー バージョンが有効になります。 つまり、カスタム パーサーは事前に構築されたパーサーになります。更新を含むビルド済みパーサーからカスタム パーサーを作成した場合、カスタム パーサーをビルド済みパーサーに戻すと、更新が失われます。パーサーの更新を再度オプトインする必要があります。

拡張機能を作成する

カスタム マッピング指示を定義し、元の未加工ログから追加データを抽出することで、カスタム パーサーまたは事前構築済みパーサーを拡張できます。カスタム パーサーによって生成された UDM レコードにデータを挿入できます。パーサー拡張機能を使用して新しいパーサーを作成することはできません。

パーサー拡張機能の作成については、パーサー拡張機能の使用をご覧ください。

ビルド済みパーサーの初期更新を元に戻す

パーサーの更新を早期に有効にしている場合は、15 日以内であれば以前のバージョンに戻すことができます。以前のパーサー バージョンに戻すには、次の手順に沿って操作します。

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 元に戻すパーサーに対して more_vert [Menu] をクリックします。

3. [表示] をクリックします。

   [ビルド済みのパーサーの表示] ページが表示されます。

4. [以前のバージョンに戻す] をクリックします。

   [元に戻す] ダイアログが表示されます。ダイアログで [Compare Parser] をクリックすると、現在のバージョンと以前のバージョンの違いを確認できます。

5. [Confirm] をクリックすると、パーサーが以前のバージョンに戻ります。

   パーサーは 20 分後に以前のバージョンに戻ります。

パーサー管理へのアクセスを制御する

デフォルトでは、管理者と編集者のロールを持つユーザーがパーサーの更新を管理できます。新しい権限を付与して、パーサーの更新を表示および管理できるユーザーを制御できます。ユーザーとグループの管理、またはロールの割り当ての詳細については、ロールベースのアクセス制御のユーザーガイドをご覧ください。