事前構築済みパーサーとカスタム パーサーを管理する

このドキュメントでは、次の方法について説明します。

• カスタム パーサーを作成、管理する。
• Google Security Operations が開始する今後の事前構築済みパーサーのアップデートを早期に利用する。
• 事前構築済みパーサーまたはカスタム パーサー用のパーサー拡張機能を作成して、マッピング指示を拡張する。
• パーサー管理へのアクセスを制御する。
• カスタム パーサーを作成、管理する。
• Google Security Operations が開始する今後の事前構築済みパーサーのアップデートを早期に利用する。
• 事前構築済みパーサーまたはカスタム パーサー用のパーサー拡張機能を作成して、マッピング指示を拡張する。
• パーサー管理へのアクセスを制御する。

パーサーのタイプ: パーサーのタイプ:

元のログデータを [UDM](/chronicle/docs/event-processing/udm-overview) フィールドにマッピングします。

パーサーのタイプ	説明
事前構築済み	Google Security Operations によって作成され、元のログデータを [UDM](/chronicle/docs/event-processing/udm-overview) フィールドに変換するためのデータ マッピング指示が組み込まれたパーサー。
事前構築済み拡張	追加のマッピング指示を使用してお客様が作成した事前構築済みパーサー。元の未加工ログから追加データを抽出し、UDM レコードに挿入します。
カスタム	元のログデータを UDM フィールドに変換するためのカスタム データ マッピング指示を使用して、お客様が作成するパーサー。
カスタム拡張	パーサー拡張機能を使用して追加のマッピング指示を行い、元の未加工ログから追加データを抽出し UDM レコードに挿入する、お客様が作成するカスタム パーサー。

事前構築済みパーサーのアップデートを管理する

事前構築済みパーサーのアップデートを管理する

Google Security Operations は通常、毎月 4 週目に事前構築済みパーサーをアップデートします。これらのアップデートは、まず早期アクセスとテストのために提供されます。今後のパーサーのアップデートが利用可能になると、パーサーのリストでアップデートが [Pending] とマークされます。以前のパーサー バージョンと新しいパーサー バージョンの違いを確認したり、パーサーのアップデートを早期に有効にしてテストしたり、アップデートをスキップしてカスタム パーサーを作成したりできます。Google Security Operations は通常、毎月 4 週目に事前構築済みパーサーをアップデートします。これらのアップデートは、まず早期アクセスとテストのために提供されます。今後のパーサーのアップデートが利用可能になると、パーサーのリストでアップデートが [Pending] とマークされます。以前のパーサー バージョンと新しいパーサー バージョンの違いを確認したり、パーサーのアップデートを早期に有効にしてテストしたり、アップデートをスキップしてカスタム パーサーを作成したりできます。

保留中のアップデートを表示するには、次の操作を行います。

1. Google Security Operations インスタンスにログインします。

2. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

3. filter_alt [フィルタ] をクリックします。

4. リストから [Prebuilt]、[Active]、[Prebuilt Extended] を選択します。

   有効な（デフォルトの）構築済みパーサーのリストが表示されます。今後行われるパーサーのアップデートは、[Update] 列に [Pending] と表示されます。

5. more_vert [Menu] をクリックし、リストから [View pending update] を選択します。

   [Compare parsers] ページが表示されます。ここで、次の内容を表示できます。

   • 現在のパーサー バージョンと今後のもののコードの違い。

   • [Change logs] タブの変更ログ。

   • サンプリングされた未加工ログに対して生成された UDM イベント。

   • パーサーが作成された日時。

   • パーサー コードが最後にアップデートされた日時。

   パーサーのアップデートを早期に有効にするか、アップデートをスキップしてカスタム パーサーを作成するか、月の第 4 週にアップデートが自動適用されるまで待つことができます。

パーサーのアップデートを早期に有効にする

パーサー管理機能を使用すると、パーサーのアップデートを早期に有効にできます。たとえば、テストする場合などです。

パーサーのアップデートを早期に有効にするには、次の手順を行います。

1. [Compare parsers] ページで、[Make parser update active] をクリックします。

   [Confirm parser update] ダイアログが表示されます。

2. [確認] をクリックします。

   パーサーは、正規化プロセスのために 20 分後に有効になります。

構築済みパーサーのアップデートをスキップする

現在の構築済みパーサーと今後の構築済みパーサーのアップデートをスキップするには、次のようにカスタム パーサーを作成します。

1. [Compare parsers] ページで、[Skip update] をクリックします。

   [Skip update and create custom parser] ウィンドウが表示されます。

2. [Create custom parser] をクリックします。

3. [Type of parser to start with] で、現在の [Prebuilt Parser] または [Pending Parser Update] を選択します。

4. [作成] をクリックします。

   選択したバージョンは、20 分後に正規化プロセスで有効になります。これは、[Parsers] ページのパーサー リストに、[Custom] と [Active] と表示されます。以前の構築済みバージョンは [Prebuilt] と [Inactive] として表示されます。

事前構築されたパーサーの早期アップデートを元に戻す

パーサーのアップデートを早期に有効にした場合は、アップデートが自動的に有効になる月の第 4 週まで、以前のバージョンに戻すことができます。

以前のパーサー バージョンに戻すには、次の手順に沿って操作します。

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 元に戻すパーサーの more_vert [Menu] をクリックします。

3. [表示] をクリックします。

   [View prebuilt parser] ページが表示されます。

4. [以前のバージョンに戻す] をクリックします。

   [Revert to previous] ダイアログが表示されます。ダイアログで [パーサーを比較] をクリックすると、現在のバージョンと以前のものとの違いを確認できます。

5. [Confirm] をクリックして、パーサーを以前のバージョンに戻します。

   パーサーは 20 分後に以前のバージョンに戻されます。

カスタム パーサー

Google Security Operations では、次のような理由でカスタム パーサーを柔軟に作成できます。

• 事前構築済みパーサーがないログタイプ用にカスタム パーサーを作成する。未加工ログから直接まったく新しいパーサーを作成するか、既存のパーサーを新しいカスタム パーサーのベースとして使用します。
• カスタム パーサーを作成して、事前構築済みパーサーのアップデートをスキップする。

カスタム パーサーは、パーサー リストに表示されます。

マッピング指示に基づいてカスタム パーサーを作成する

カスタム パーサーを作成するには、元の未加工ログを UDM レコードに変換するコードを記述します。パーサーの構造については、ログ解析の概要をご覧ください。また、構文についてはパーサー構文リファレンスをご覧ください。パーサーを作成するときは、データ マッピング指示によって可能な限り多くの重要な UDM フィールドに入力するようにしてください。

1. [SIEM Settings] に移動します。

2. [SIEM Settings] に移動します。

3. [パーサーを作成する] をクリックします。

4. [Log Source] リストから適切なログソースを選択します。

5. [Start with Raw Logs Only] を選択し、要件に応じて新しいパーサーを作成します。

6. [作成] をクリックします。

7. [Parser Code Terminal] にコードを入力します。詳細については、コード スニペット マッピング指示を作成するをご覧ください。

8. [Parser Code Terminal] にコードを入力します。詳細については、コード スニペット マッピング指示を作成するをご覧ください。

9. 省略可: edit をクリックして、既存の未加工ログを編集するか、コピーします。

10. 省略可: [refresh] をクリックして、最新の未加工ログを読み込みます。

11. [Preview] をクリックして UDM の出力を確認します。コードが正しくない場合は、エラー メッセージが表示されます。

    プレビュー版では、statedump フィルタ プラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。

12. [Validate] をクリックして、カスタム パーサーを検証します。

    検証プロセスには数分かかることがあるため、まずカスタム パーサーをプレビューし、必要に応じて変更してから、カスタム パーサーを検証することをおすすめします。

13. [送信] をクリックします。

    パーサーは、正規化プロセスのために 20 分後に有効になります。パーサーは、正規化プロセスのために 20 分後に有効になります。

既存のパーサーからカスタム パーサーを作成する

既存のパーサーからカスタム パーサーを作成する

既存のパーサーをテンプレートとして使用して、新しいパーサーを作成できます。カスタム パーサーは、コードアプローチのみを使用して作成できます。既存のパーサーからカスタム パーサーを作成するには、次の手順に沿って操作します。

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. [パーサーを作成する] をクリックします。

3. [Log Source] リストから適切なログソースを選択します。

4. [既存のビルド済みパーサーで開始] を選択し、既存のパーサーをベースとして使用して新しいカスタム パーサーを作成します。

5. [作成] をクリックします。

6. パーサーコード ターミナルでコードを編集します。詳細については、コード スニペット マッピング指示を作成するをご覧ください。

7. 省略可: edit をクリックして未加工ログを編集します。

8. 省略可: [refresh] をクリックして未加工ログを更新します。

9. パーサーを構築するコードを追加したら、[Preview] をクリックして UDM 出力を確認します。コードが正しくない場合は、エラー メッセージが表示されます。

   プレビュー版では、statedump フィルタ プラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。

10. [Validate] をクリックして、カスタム パーサーを検証します。

    検証プロセスには数分かかることがあるため、まずカスタム パーサーをプレビューし、必要に応じて変更してから、カスタム パーサーを検証することをおすすめします。

11. [送信] をクリックします。

    パーサーは、正規化プロセスのために 20 分後に有効になります。パーサーは、正規化プロセスのために 20 分後に有効になります。

カスタム パーサーを無効にする

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 無効にするパーサーの more_vert [Menu] をクリックし、リストから [Make inactive] を選択します。

   [Make parser inactive] ダイアログが表示されます。

3. [Make inactive] をクリックします。

カスタム パーサーは無効になり、20 分後に現在の構築済みのパーサー バージョンが有効になります。構築済みパーサーがデフォルトのパーサーになります。カスタム パーサーは無効になり、20 分後に現在の構築済みのパーサー バージョンが有効になります。構築済みパーサーがデフォルト パーサーになります。

カスタム パーサーを削除する

1. apps アプリケーション メニューから、[Settings] > [Parsers] を選択します。

2. 削除するカスタム パーサーの more_vert [Menu] をクリックし、リストから [Delete] を選択します。注: 事前構築済みパーサーは削除できません。

3. 削除するカスタム パーサーの more_vert [Menu] をクリックし、リストから [Delete] を選択します。注: 事前構築済みパーサーは削除できません。

   [Delete custom parser] ダイアログが表示されます。

4. [削除] をクリックします。

20 分後に、カスタム パーサーが削除され、現在の構築済みパーサー バージョンが有効になります。カスタム パーサーは削除され、20 分後に現在の構築済みパーサー バージョンが有効になります。

拡張機能を作成する

パーサー拡張機能を使用すると、既存の構築済み（デフォルト）パーサーとカスタム パーサーの機能を柔軟に拡張できます。事前構築済みパーサーやカスタム パーサーに代わるものではありません。代わりに、元の未加工ログから UDM レコードに追加フィールドをシームレスに抽出できます。パーサー拡張機能はカスタム パーサーとは異なります。パーサー拡張機能を作成するには、パーサー拡張機能の使用をご覧ください。パーサー拡張機能を使用すると、既存の構築済み（デフォルト）パーサーとカスタム パーサーの機能を柔軟に拡張できます。事前構築済みパーサーやカスタム パーサーに代わるものではありません。代わりに、元の未加工ログから UDM レコードに追加フィールドをシームレスに抽出できます。パーサー拡張機能はカスタム パーサーとは異なります。パーサー拡張機能を作成するには、パーサー拡張機能の使用をご覧ください。

パーサー管理へのアクセスを制御する

デフォルトでは、管理者と編集者のロールを持つユーザーは、パーサーのアップデートを管理できます。これらのアップデートを表示、管理できるユーザーを制御する新しい権限を付与できます。ユーザーとグループの管理、またはロールの割り当ての詳細については、ロールベース アクセス制御ユーザー ガイドをご覧ください。