사전 빌드된 커스텀 파서 관리

이 문서에서는 파서 관리 기능을 사용하여 커스텀 파서를 만들거나 Google Security Operations에서 시작한 사전 빌드된 파서 업데이트를 선택 또는 선택 해제하는 방법을 설명합니다.

사전 빌드된 파서 변경사항은 출시 후보로 정기적으로 출시됩니다. 출시 후보 기간 동안 대기 중인 변경사항이 있는 하나 이상의 파서를 업데이트하도록 선택할 수 있습니다. 4주마다 대기 중인 파서 변경사항이 기본값으로 승격되면 대기 중인 업데이트가 자동으로 활성화됩니다. 변경사항을 평가하는 시간은 출시 후보 기간 동안 변경사항이 출시된 시점에 따라 달라집니다.

파서 관리 기능을 사용하면 출시 후보 기간 중에 업데이트를 검사하고 테스트할 수 있습니다. 사전 빌드된 파서의 이전 변경사항 목록을 확인하고 출시 주기에서 예정된 변경사항을 확인할 수도 있습니다. 그런 다음 업데이트를 선택하거나 선택 해제할 수 있습니다.

Google Security Operations에는 사전 빌드된 파서가 없는 로그 유형의 커스텀 파서를 유연하게 만들 수 있는 기능이 있습니다. 원시 로그에서 직접 완전히 새로운 파서를 만들거나 기존 파서를 새 커스텀 파서의 기반으로 사용할 수 있습니다. 사전 빌드된 파서 또는 커스텀 파서의 파서 확장 프로그램을 만들어 매핑 명령어를 확장할 수 있습니다.

다음과 같이 다양한 파서 유형이 있습니다.

파서 유형	설명
사전 빌드됨	Google Security Operations에서 생성되며 원본 로그 데이터를 UDM 필드로 변환하기 위한 기본 제공 데이터 매핑 안내가 포함된 파서
사전 빌드된 확장	원본 원시 로그에서 추가 데이터를 추출하여 UDM 레코드에 삽입하기 위한 추가 매핑 안내에 따라 고객이 만든 사전 빌드된 파서
맞춤	원본 로그 데이터를 UDM 필드로 변환하기 위한 커스텀 데이터 매핑 안내에 따라 고객이 만든 파서
커스텀 확장	원본 원시 로그에서 추가 데이터를 추출하여 UDM 레코드에 삽입하기 위한 파서 확장 프로그램을 사용하여 추가 매핑 안내에 따라 고객이 만든 커스텀 파서

시작하기 전에

다음 문서에서는 파서 업데이트를 관리하는 데 중요한 기본 개념을 설명합니다.

• 통합 데이터 모델 개요
• 로그 파싱 개요

매핑 명령어 기반의 커스텀 파서 만들기

원본 원시 로그를 UDM 레코드로 변환하는 코드를 작성하여 커스텀 파서를 만들 수 있습니다. 파서 구조에 대한 자세한 내용은 로그 파싱 개요를 참조하고 구문에 대한 자세한 내용은 파서 문법 참조를 확인하세요. 파서를 만들 때 데이터 매핑 안내에 최대한 많은 중요 UDM 필드를 채워야 합니다.

1. 탐색 메뉴에서 설정 > SIEM 설정을 선택합니다.

2. 파서 만들기를 클릭합니다.

3. 로그 소스 목록에서 적절한 로그 소스를 선택합니다.

4. 원시 로그만으로 시작을 선택하여 요구사항에 따라 새 파서를 만듭니다.

5. 만들기를 클릭합니다.

6. 파서 코드 터미널에 코드를 입력합니다. 자세한 내용은 코드 스니펫 매핑 명령어 만들기를 참조하세요.

7. 선택사항: edit를 클릭하여 기존 원시 로그나 복사본을 수정합니다.

8. 선택사항: refresh를 클릭하여 최신 원시 로그를 로드합니다.

9. 미리보기를 클릭하여 UDM 출력을 확인합니다. 코드가 잘못되면 오류 메시지가 표시됩니다.

   미리보기에서는 statedump 필터 플러그인을 사용하여 파서의 내부 상태를 확인할 수 있습니다. 자세한 내용은 statedump 플러그인을 사용하여 데이터 검증을 참조하세요.

10. 커스텀 파서를 검증하려면 검증을 클릭합니다.

    검증 프로세스는 몇 분 정도 걸릴 수 있으므로 먼저 커스텀 파서를 미리 보고 필요한 경우 변경한 다음 커스텀 파서를 검증하는 것이 좋습니다.

11. 제출을 클릭합니다.

    파서는 20분 후 정규화를 위해 선택됩니다.

기존 파서에서 커스텀 파서 만들기

기존 파서를 템플릿으로 사용하여 새 파서를 만들 수 있습니다. 코드 접근 방식만 사용하여 커스텀 파서를 만들 수 있습니다. 기존 파서에서 커스텀 파서를 만들려면 다음 단계를 따르세요.

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 파서 만들기를 클릭합니다.

3. 로그 소스 목록에서 적절한 로그 소스를 선택합니다.

4. 기존 사전 빌드된 파서로 시작을 선택하여 기존 파서를 새 커스텀 파서를 만들기 위한 기본으로 사용합니다.

5. 만들기를 클릭합니다.

6. 파서 코드 터미널에서 코드를 수정합니다. 자세한 내용은 코드 스니펫 매핑 명령어 만들기를 참조하세요.

7. 선택사항: edit를 클릭하여 원시 로그를 수정합니다.

8. 선택사항: refresh를 클릭하여 원시 로그를 새로고침합니다.

9. 파서를 빌드할 코드를 추가할 때 미리보기를 클릭하여 UDM 출력을 확인합니다. 코드가 잘못되면 오류 메시지가 표시됩니다.

   미리보기에서는 statedump 필터 플러그인을 사용하여 파서의 내부 상태를 확인할 수 있습니다. 자세한 내용은 statedump 플러그인을 사용하여 데이터 검증을 참조하세요.

10. 커스텀 파서를 검증하려면 검증을 클릭합니다.

    검증 프로세스는 몇 분 정도 걸릴 수 있으므로 먼저 커스텀 파서를 미리 보고 필요한 경우 변경한 다음 커스텀 파서를 검증하는 것이 좋습니다.

11. 제출을 클릭합니다.

    파서는 20분 후 정규화를 위해 선택됩니다.

사전 빌드된 파서 업데이트 관리

Google Security Operations에서 파서 업데이트를 출시하면 업데이트는 15일 동안 대기 중 상태가 됩니다. 파서 업데이트를 선택하거나 선택 해제하려면 다음을 수행하여 이전 파서 버전과 최신 파서 버전을 비교합니다.

1. Google Security Operations 인스턴스에 로그인합니다.

2. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

3. filter_alt필터를 클릭합니다.

4. 목록에서 사전 빌드, 활성, 사전 빌드 확장을 선택합니다.

   활성 사전 빌드 파서가 표시됩니다. 사전 빌드된 파서는 Google Security Operations에서 출시한 기본 파서입니다. 업데이트 열에 대기 중 상태가 포함되어 있으면 파서에 검사할 수 있는 업데이트가 있는 것입니다.

5. more_vert 메뉴를 클릭하고 목록에서 대기 중인 업데이트 보기를 선택합니다.

   파서 비교 페이지가 표시됩니다. 여기에서 다음을 확인할 수 있습니다.

   • 현재 파서 버전과 예정된 파서 버전 간의 코드 차이

   • 변경 로그 탭의 변경 로그

   • 샘플링된 원시 로그에 대해 생성된 UDM 이벤트

   업데이트를 조기에 선택하거나 15일 후에 자동 적용될 때까지 기다리거나 선택 해제할 수 있습니다.

파서 업데이트 조기 선택

파서 관리 기능을 사용하면 파서 업데이트를 조기에 선택하고 테스트할 수 있습니다. 사전 빌드된 파서를 사용하는 경우에만 파서 업데이트를 조기에 선택할 수 있습니다. 미리 선택하면 업데이트 출시 후 15일 이내에 이전 버전으로 파서를 되돌릴 수 있습니다. 업데이트를 미리 선택하려면 다음 단계를 따르세요.

1. 파서 비교 페이지에서 파서 업데이트 활성을 클릭합니다.

   파서 업데이트 확인 대화상자가 나타납니다.

2. 확인을 클릭합니다.

   파서는 20분 후 정규화를 위해 선택됩니다.

파서 업데이트 선택 해제

현재 및 향후 파서 업데이트를 선택 해제하려면 커스텀 파서를 만듭니다. 파서의 현재 또는 업데이트된 버전을 커스텀 파서로 사용할 수 있습니다. 나중에 커스텀 파서에 대한 모든 업데이트가 표시되지만 선택하지 않은 경우에는 적용되지 않습니다. 현재 또는 향후 업데이트를 선택 해제하려면 다음 단계를 수행합니다.

1. 파서 비교 페이지에서 업데이트 건너뛰기를 클릭합니다.

   업데이트 건너뛰기 및 커스텀 파서 만들기 창이 나타납니다.

2. 커스텀 파서 만들기를 클릭합니다.

3. 기본 파서 버전을 커스텀 파서로 설정하려면 사전 빌드된 파서를 선택합니다. 업데이트된 버전을 커스텀 파서로 설정하려면 대기 중 파서 업데이트를 선택합니다.

4. 만들기를 클릭합니다.

   선택한 버전이 20분 후 정규화를 위해 선택됩니다. 버전은 파서 페이지의 파서 목록에 커스텀 및 활성으로 표시됩니다. 사전 빌드된 이전 버전은 사전 빌드 및 비활성으로 표시됩니다.

커스텀 파서 업데이트 관리

사전 빌드된 파서 업데이트를 선택 해제하면 커스텀 파서가 생성됩니다. 커스텀 파서가 파서 목록에 새 항목으로 표시됩니다.

커스텀 파서 비활성화

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 비활성화하려는 파서에 대한 more_vert 메뉴를 클릭하고 목록에서 비활성화를 선택합니다.

   파서를 비활성으로 설정 대화상자가 나타납니다.

3. 비활성화를 클릭합니다.

커스텀 파서가 비활성화되고 기본 파서 버전은 20분 후 활성화됩니다. 즉, 커스텀 파서는 사전 빌드된 파서가 됩니다. 업데이트가 포함된 사전 파서에서 커스텀 파서를 만든 경우 커스텀 파서를 사전 빌드된 파서로 되돌리면 업데이트가 손실됩니다. 파서 업데이트를 다시 선택해야 합니다.

커스텀 파서 삭제

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 삭제할 파서에 대해 more_vert 메뉴를 클릭하고 목록에서 삭제를 선택합니다.

   커스텀 파서 삭제 대화상자가 나타납니다.

3. 삭제를 클릭합니다.

커스텀 파서가 삭제되고 기본 파서 버전이 20분 후 활성화됩니다. 즉, 커스텀 파서는 사전 빌드된 파서가 됩니다. 업데이트가 포함된 사전 파서에서 커스텀 파서를 만든 경우 커스텀 파서를 사전 빌드된 파서로 되돌리면 업데이트가 손실됩니다. 파서 업데이트를 다시 선택해야 합니다.

확장 프로그램 만들기

원본 원시 로그에서 추가 데이터를 추출하도록 커스텀 매핑 안내를 정의하여 커스텀 또는 사전 빌드된 파서를 확장할 수 있습니다. 커스텀 파서에서 생성된 UDM 레코드에 데이터를 삽입할 수 있습니다. 파서 확장 프로그램을 사용하여 새 파서를 만들 수 없습니다.

파서 확장 프로그램 만들기에 대한 자세한 내용은 파서 확장 프로그램 사용을 참조하세요.

사전 빌드된 파서의 초기 업데이트 되돌리기

파서 업데이트를 조기에 선택한 경우 15일 이내에 이전 버전으로 되돌릴 수 있습니다. 이전 파서 버전으로 다시 전환하려면 다음 단계를 따르세요.

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 되돌릴 파서에 대한 more_vert 메뉴를 클릭합니다.

3. 보기를 클릭합니다.

   사전 빌드된 파서 보기 페이지가 표시됩니다.

4. 이전 버전으로 되돌리기를 클릭합니다.

   이전으로 되돌리기 대화상자가 나타납니다. 대화상자에서 파서 비교를 클릭하여 현재 버전과 이전 버전 사이의 차이점을 볼 수 있습니다.

5. 확인을 클릭하여 파서를 이전 버전으로 되돌립니다.

   파서는 20분 후 이전 버전으로 되돌아갑니다.

파서 관리에 대한 액세스 제어

기본적으로 파서 업데이트는 관리자 및 편집자 역할을 가진 사용자가 관리할 수 있습니다. 파서 업데이트를 보고 관리하도록 할 수 있는 사용자를 제어하기 위해 새 권한을 부여할 수 있습니다. 사용자 및 그룹 관리, 역할 할당에 대한 자세한 내용은 역할 기반 액세스 제어 사용자 가이드를 참조하세요.