사전 빌드된 커스텀 파서 관리

개요

이 문서에서는 Google Security Operations 내에서 파서를 관리하는 방법을 안내합니다. 사전 빌드된 파서와 커스텀 파서의 업데이트를 처리하고, 파서 확장 프로그램을 만들고, 파서 관리 기능에 대한 액세스를 제어하는 방법을 자세히 설명합니다.

• 사전 빌드된 파서 업데이트 관리
• 맞춤 파서 관리
• 확장 프로그램 만들기
• 파서 관리에 대한 액세스 제어

파서 유형

파서 유형과 기능 이해:

파서 유형	설명
사전 빌드됨	원본 로그 데이터를 UDM 필드로 변환하는 기본 제공 매핑이 포함된 Google SecOps에서 만든 파서
사전 빌드된 확장	원본 원시 로그에서 추가 데이터를 추출하여 UDM 레코드에 삽입하기 위한 추가 매핑 안내에 따라 고객이 만든 사전 빌드된 파서
맞춤	원본 로그 데이터를 UDM 필드로 변환하기 위한 맞춤 데이터 매핑 안내에 따라 고객이 만든 파서
맞춤 확장	원본 원시 로그에서 추가 데이터를 추출하여 UDM 레코드에 삽입하기 위한 파서 확장 프로그램을 사용하여 추가 매핑 안내에 따라 고객이 만든 커스텀 파서

파서 지원 수준

Google SecOps는 다음과 같은 수준의 파서 지원을 제공합니다.

파서 유형	설명 및 지원
프리미엄 파서	Google SecOps는 가장 널리 사용되는 대량 데이터 소스의 고품질 파서를 제공합니다. 프리미엄 파서에 대한 고객 요청은 일반적으로 며칠 이내에 처리됩니다.
표준 파서	지원되는 다른 데이터 소스의 경우 Google SecOps에서 최선을 다해 지원하며, 일반적으로 몇 주가 소요됩니다. 즉각적인 요구사항을 충족하려면 셀프 서비스 파서 확장 프로그램과 자동 추출 기능을 사용하면 됩니다.
고객이 빌드한 파서 및 확장 프로그램	Google SecOps는 이러한 통합을 지원하지 않습니다. 이러한 작업은 독립적으로 또는 Google 파트너의 지원을 받아 관리하는 것이 좋습니다.

Premium 및 Standard 파서의 전체 목록은 기본 파서 구성을 참고하세요.

원시 로그를 통합 데이터 모델 (UDM) 형식으로 파싱하는 개요는 로그 파싱 개요를 참고하세요.

사전 빌드된 파서 업데이트 관리

Google SecOps는 일반적으로 매월 4주차에 사전 빌드된 파서를 업데이트합니다. 이러한 업데이트는 고객이 사전 체험판을 사용하고 테스트할 수 있도록 먼저 제공됩니다. 예정된 파서 업데이트가 제공되면 파서 목록에 대기 중 업데이트로 표시됩니다. 이전 파서 버전과 최신 파서 버전을 비교하거나, 파서 업데이트를 조기에 활성화하여 테스트하거나, 업데이트를 건너뛰고 맞춤 파서를 만들 수 있습니다.

대기 중인 업데이트를 보려면 다음 단계를 따르세요.

1. Google SecOps 인스턴스에 로그인합니다.

2. 설정 > SIEM 설정 > 파서를 선택합니다.

3. filter_alt필터를 클릭합니다.

4. 목록에서 사전 빌드, 활성, 사전 빌드 확장을 선택합니다.

   활성 (기본) 사전 빌드 파서 목록이 표시됩니다. 예정된 파서 업데이트는 업데이트 열에 대기 중으로 표시됩니다.

5. more_vert 메뉴를 클릭하고 목록에서 대기 중인 업데이트 보기를 선택합니다.

   파서 비교 페이지가 표시됩니다. 여기에서 다음을 확인할 수 있습니다.

   • 현재 파서 버전과 예정된 파서 버전 간의 코드 차이입니다.

   • 변경 로그 탭의 변경 로그

   • 샘플링된 원시 로그에 대해 생성된 UDM 이벤트입니다.

   • 파서가 생성된 날짜와 시간입니다.

   • 파서 코드가 마지막으로 업데이트된 날짜와 시간입니다.

   파서 업데이트를 일찍 활성화하거나, 업데이트를 건너뛰고 커스텀 파서를 만들거나, 월 4주차에 업데이트가 자동으로 적용될 때까지 기다릴 수 있습니다.

파서 업데이트를 일찍 활성화

파서 관리 기능을 사용하면 파서 업데이트를 미리 활성화할 수 있습니다. 예를 들어 테스트하려는 경우입니다.

파서 업데이트를 일찍 활성화하려면 다음 단계를 따르세요.

1. 파서 비교 페이지에서 파서 업데이트 활성화를 클릭합니다.

   파서 업데이트 확인 대화상자가 표시됩니다.

2. 확인을 클릭합니다.

   파서는 20분 후에 정규화 프로세스를 위해 활성화됩니다.

사전 빌드된 파서 업데이트 건너뛰기

현재 및 향후 사전 빌드된 파서 업데이트를 건너뛰려면 다음과 같이 맞춤 파서를 만드세요.

1. 파서 비교 페이지에서 업데이트 건너뛰기를 클릭합니다.

   업데이트 건너뛰고 맞춤 파서 만들기 창이 표시됩니다.

2. 맞춤 파서 만들기를 클릭합니다.

3. 시작할 파서 유형에서 현재 사전 빌드된 파서 또는 대기 중인 파서 업데이트를 선택합니다.

4. 만들기를 클릭합니다.

   선택한 버전은 20분 후에 정규화 프로세스에 활성화됩니다. 버전은 파서 페이지의 파서 목록에 커스텀 및 활성으로 표시됩니다. 사전 빌드된 이전 버전은 사전 빌드 및 비활성으로 표시됩니다.

사전 빌드된 파서의 초기 업데이트 되돌리기

파서 업데이트를 미리 활성화한 경우 업데이트가 자동으로 활성화되는 해당 월의 4주차까지 이전 버전으로 되돌릴 수 있습니다.

이전 파서 버전으로 다시 전환하려면 다음 단계를 따르세요.

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 되돌리려는 파서에 대한 more_vert 메뉴를 클릭합니다.

3. 보기를 클릭합니다.

   사전 빌드된 파서 보기 페이지가 표시됩니다.

4. 이전 버전으로 되돌리기를 클릭합니다.

   이전 버전으로 되돌리기 대화상자가 표시됩니다. 대화상자에서 파서 비교를 클릭하여 현재 버전과 이전 버전의 차이점을 확인할 수 있습니다.

5. 파서를 이전 버전으로 되돌리려면 확인을 클릭합니다.

   20분이 지나면 파서가 이전 버전으로 되돌아갑니다.

맞춤 파서

Google SecOps를 사용하면 사전 빌드된 파서를 사용할 수 없는 경우나 더 많은 제어가 필요한 경우 맞춤 파서를 만들 수 있습니다. 맞춤 파서는 사전 빌드된 파서와 함께 파서 목록에 표시됩니다.

일반적인 사용 사례는 다음과 같습니다.

• 사전 빌드된 파서가 없는 로그 유형의 로그 데이터를 수집합니다.

  다음 방법 중 하나를 사용하세요.

  • 원시 로그에 매핑 명령어 기반의 커스텀 파서를 만듭니다.
  • 기존 파서를 기반으로 맞춤 파서 만들기

• 사전 빌드된 파서 업데이트를 건너뛰기 위해 커스텀 파서를 만듭니다.

매핑 명령어 기반의 커스텀 파서 만들기

원본 원시 로그를 UDM 레코드로 변환하는 코드를 작성하여 맞춤 파서를 만들 수 있습니다.

추가 자료:

• 파서 구조에 대한 자세한 내용은 로그 파싱 개요를 참고하세요.
• 파서 문법에 대한 자세한 내용은 파서 문법 참조를 참고하세요.

파서를 만들 때 최대한 많은 중요 UDM 필드를 채우세요.

1. 설정으로 이동합니다.

2. SIEM 설정으로 이동합니다.

3. 파서 만들기를 클릭합니다.

4. 로그 소스 목록에서 적절한 로그 소스를 선택합니다.

5. 원시 로그만으로 시작을 선택하여 요구사항에 따라 새 파서를 만듭니다.

6. 만들기를 클릭합니다.

7. 파서 코드 터미널에 코드를 입력합니다. 자세한 내용은 코드 스니펫 매핑 명령어 만들기를 참고하세요.

8. 선택사항: edit 수정을 클릭하여 기존 원시 로그나 복사본을 수정합니다.

9. 선택사항: refresh 로드를 클릭하여 최신 원시 로그를 로드합니다.

10. 미리보기를 클릭하여 UDM 출력을 확인합니다. 코드가 잘못되면 오류 메시지가 표시됩니다.

    미리보기에서는 statedump 필터 플러그인을 사용하여 파서의 내부 상태를 확인할 수 있습니다. 자세한 내용은 statedump 플러그인을 사용하여 데이터 검증을 참고하세요.

11. 커스텀 파서를 검증하려면 검증을 클릭합니다.

    검증 프로세스는 몇 분 정도 걸릴 수 있으므로 먼저 커스텀 파서를 미리 보고 필요한 경우 변경한 다음 커스텀 파서를 검증하는 것이 좋습니다.

12. 제출을 클릭합니다.

    파서는 20분 후에 정규화 프로세스를 위해 활성화됩니다.

기존 파서를 기반으로 맞춤 파서 만들기

기존 파서를 템플릿으로 사용하여 새 맞춤 파서를 만듭니다. 이 메서드는 코드 기반 접근 방식만 지원합니다. 시작하려면 아래의 단계를 따르세요.

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 파서 만들기를 클릭합니다.

3. 로그 소스 목록에서 적절한 로그 소스를 선택합니다.

4. 기존 사전 빌드된 파서로 시작을 선택하여 기존 파서를 새 커스텀 파서를 만들기 위한 기본으로 사용합니다.

5. 만들기를 클릭합니다.

6. 파서 코드 터미널에서 코드를 수정합니다. 자세한 내용은 코드 스니펫 매핑 명령어 만들기를 참고하세요.

7. 선택사항: edit 수정을 클릭하여 원시 로그를 수정합니다.

8. 선택사항: refresh 새로고침을 클릭하여 원시 로그를 새로고침합니다.

9. 파서를 빌드하는 코드를 추가할 때 미리보기를 클릭하여 UDM 출력을 확인합니다. 코드가 잘못되면 오류 메시지가 표시됩니다.

   미리보기에서는 statedump 필터 플러그인을 사용하여 파서의 내부 상태를 확인할 수 있습니다. 자세한 내용은 statedump 플러그인을 사용하여 데이터 검증을 참조하세요.

10. 커스텀 파서를 검증하려면 검증을 클릭합니다.

    검증 프로세스는 몇 분 정도 걸릴 수 있으므로 먼저 커스텀 파서를 미리 보고 필요한 경우 변경한 다음 커스텀 파서를 검증하는 것이 좋습니다.

11. 제출을 클릭합니다.

    파서는 20분 후에 정규화 프로세스를 위해 활성화됩니다.

커스텀 파서를 비활성화하기

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 비활성화하려는 파서에 대한 more_vert 메뉴를 클릭하고 목록에서 비활성화를 선택합니다.

   파서 비활성화 대화상자가 표시됩니다.

3. 비활성화를 클릭합니다.

20분이 지나면 커스텀 파서가 비활성화되고 현재 사전 빌드된 파서 버전이 활성화됩니다. 이제 사전 빌드된 파서가 기본 파서가 됩니다. 20분이 지나면 커스텀 파서가 비활성화되고 현재 사전 빌드된 파서 버전이 활성화됩니다. 이제 사전 빌드된 파서가 기본 파서가 됩니다.

맞춤 파서 삭제

1. apps 애플리케이션 메뉴에서 설정 > 파서를 선택합니다.

2. 삭제하려는 맞춤 파서에 대한 more_vert 메뉴를 클릭하고 목록에서 삭제를 선택합니다. 참고: 사전 빌드된 파서는 삭제할 수 없습니다.

   맞춤 파서 삭제 대화상자가 표시됩니다.

3. 삭제를 클릭합니다.

20분이 지나면 커스텀 파서가 삭제되고 현재 사전 빌드 파서 버전이 활성화됩니다.

확장 프로그램 만들기

파서 확장 프로그램을 사용하면 기존 사전 빌드 (기본) 파서와 맞춤 파서의 기능을 유연하게 확장할 수 있습니다. 미리 빌드된 파서나 맞춤 파서를 대체하지 않습니다. 대신 원래 원시 로그에서 UDM 레코드로 추가 필드를 원활하게 추출할 수 있습니다. 파서 확장 프로그램은 맞춤 파서와 다릅니다.

파서 확장 프로그램을 만들려면 파서 확장 프로그램 사용을 참고하세요.

파서 관리에 대한 액세스 제어

기본적으로 관리자 및 편집자 역할을 가진 사용자는 파서 업데이트를 관리할 수 있습니다. 이러한 업데이트를 보고 관리하도록 할 수 있는 사용자를 제어하기 위해 새 권한을 부여할 수 있습니다.

사용자 및 그룹 관리 또는 역할 할당에 대한 자세한 내용은 역할 기반 액세스 제어 사용자 가이드를 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.