Faça a gestão de analisadores predefinidos e personalizados

Compatível com:

Vista geral

Este documento fornece orientações sobre como gerir analisadores no Google Security Operations. Detalha como processar atualizações de analisadores predefinidos e personalizados, criar extensões de analisadores e controlar o acesso às funcionalidades de gestão de analisadores:

Tipos de analisadores

Compreender os tipos de analisadores e as respetivas funções:

Tipo de analisador Descrição
Pré-criado Analisadores criados pela Google SecOps que incluem mapeamentos incorporados para transformar os dados de registo originais em campos UDM.
Pré-criado expandido Um analisador pré-criado pelos clientes com instruções de mapeamento adicionais para extrair dados adicionais de um registo não processado original e inseri-los no registo do UDM.
Personalizado Analisadores criados por clientes com instruções de mapeamento de dados personalizadas para transformar dados de registo originais em campos do UDM.
Personalizado alargado Um analisador personalizado criado pelos clientes com instruções de mapeamento adicionais através de uma extensão do analisador para extrair dados adicionais de um registo não processado original e inseri-los no registo do UDM.

Níveis de compatibilidade com o analisador

O Google SecOps oferece estes níveis de apoio técnico do analisador:

Tipo de analisador Descrição e apoio técnico
Analisadores premium O Google SecOps fornece analisadores de alta qualidade das origens de dados de grande volume mais usadas. Normalmente, os pedidos de analisadores premium dos clientes são processados em poucos dias.
Analisadores padrão Para outras origens de dados suportadas, o Google SecOps oferece apoio técnico de melhor esforço, com um tempo de processamento típico de algumas semanas. Para satisfazer necessidades imediatas, pode usar extensões de análise self-service e capacidades de extração automática.
Analisadores e extensões criados pelo cliente O Google SecOps não oferece apoio técnico para estes produtos. Recomendamos que faça esta gestão de forma independente ou com a ajuda de parceiros da Google.

Para ver uma lista completa dos analisadores Premium e Standard, consulte a Configuração do analisador predefinido.

Para uma vista geral da análise de registos não processados para o formato do modelo de dados unificado (UDM), consulte o artigo Vista geral da análise de registos.

Faça a gestão das atualizações do analisador pré-criado

Normalmente, a Google SecOps atualiza os analisadores pré-criados durante a quarta semana de cada mês. Estas atualizações são disponibilizadas primeiro aos clientes para acesso antecipado e testes. À medida que as próximas atualizações do analisador ficam disponíveis, são marcadas como atualização pendente na lista do analisador. Pode examinar a diferença entre as versões do analisador anteriores e mais recentes, ou ativar a atualização do analisador antecipadamente para a testar, ou ignorar a atualização e criar um analisador personalizado.

Para ver a atualização pendente, faça o seguinte:

  1. Inicie sessão na sua instância do Google SecOps.

  2. Selecione Definições >Definições do SIEM > Analisadores.

  3. Clique em Filtrar.

  4. Selecione Pré-criado, Ativo e Pré-criado alargado na lista.

    É apresentada uma lista de analisadores ativos (predefinição) pré-criados. As próximas atualizações do analisador são marcadas como Pendentes na coluna Atualização.

  5. Clique em Menu e selecione Ver atualização pendente na lista.

    É apresentada a página Comparar analisadores. Aqui, pode ver o seguinte:

    • A diferença de código entre a versão atual e a versão do analisador que vai ser lançada.

    • Os registos de alterações no separador Registos de alterações.

    • O evento UDM gerado para o registo não processado com amostragem.

    • A data e a hora em que o analisador foi criado.

    • A data e a hora da última atualização do código do analisador.

    Pode ativar a atualização do analisador antecipadamente, ignorar a atualização e criar um analisador personalizado ou aguardar que a atualização seja aplicada automaticamente durante a quarta semana do mês.

Ative a atualização do analisador antecipadamente

A funcionalidade de gestão do analisador permite-lhe ativar a atualização do analisador antecipadamente. Por exemplo, se quiser testá-lo.

Para ativar a atualização do analisador antecipadamente, siga estes passos:

  1. Na página Comparar analisadores, clique em Tornar a atualização do analisador ativa.

    É apresentada a caixa de diálogo Confirmar atualização do analisador.

  2. Clique em Confirm.

    O analisador é ativado para o processo de normalização após 20 minutos.

Ignore as atualizações do analisador pré-criado

Para ignorar as atualizações do analisador pré-criado atual e futuras, crie um analisador personalizado da seguinte forma:

  1. Na página Comparar analisadores, clique em Ignorar atualização.

    É apresentada a janela Ignorar atualização e criar analisador personalizado.

  2. Clique em Criar analisador personalizado.

  3. Para o Tipo de analisador com que começar, selecione o analisador pré-criado atual ou a atualização do analisador pendente.

  4. Clique em Criar.

    A versão selecionada é ativada para o processo de normalização após 20 minutos. Aparece como Personalizado e Ativo na lista de analisadores na página Analisadores. A versão pré-criada anterior aparece como Pré-criada e Inativa.

Reverta uma atualização antecipada do analisador pré-criado

Se ativou a atualização do analisador antecipadamente, ainda pode reverter para a versão anterior até à quarta semana do mês, quando a atualização é ativada automaticamente.

Para voltar à versão anterior do analisador, siga estes passos:

  1. No menu Aplicação, selecione Definições > Analizadores.

  2. Clique em Menu junto ao analisador que quer reverter.

  3. Clique em Ver.

    É apresentada a página Ver analisador pré-criado.

  4. Clique em Reverter para versão anterior.

    É apresentada a caixa de diálogo Reverter para anterior. Pode clicar em Comparar analisadores na caixa de diálogo para ver a diferença entre as versões atual e anterior.

  5. Clique em Confirmar para reverter o analisador para a versão anterior.

    O analisador é revertido para a versão anterior após 20 minutos.

Analisadores personalizados

O Google SecOps permite-lhe criar analisadores personalizados para casos em que não está disponível um analisador pré-criado ou quando quer ter mais controlo. Os analisadores personalizados aparecem na lista de analisadores, juntamente com os analisadores pré-criados.

Os exemplos de utilização comuns incluem:

Crie um analisador personalizado com base nas instruções de mapeamento

Pode criar um analisador personalizado escrevendo código que converte o registo não processado original num registo UDM.

Leitura adicional:

Ao criar um analisador, procure preencher o maior número possível de campos UDM importantes.

  1. Aceda a Definições.

  2. Aceda a Definições do SIEM.

  3. Clique em Criar analisador.

  4. Selecione uma origem de registo adequada na lista Origem de registo.

  5. Selecione Começar apenas com registos não processados para criar um novo analisador de acordo com os seus requisitos.

  6. Clique em Criar.

  7. Introduza o código no terminal de código do analisador. Para mais informações, consulte o artigo Crie uma instrução de mapeamento de fragmentos de código.

  8. Opcional: clique em Editar para editar o registo não processado existente ou copiá-lo.

  9. Opcional: clique em Carregar para carregar o registo não processado mais recente.

  10. Clique em Pré-visualizar para ver o resultado do UDM. É apresentada uma mensagem de erro se o código estiver incorreto.

    Na pré-visualização, pode usar o plug-in de filtro statedump para validar o estado interno de um analisador. Para mais informações, consulte o artigo Valide os dados através do plug-in statedump.

  11. Clique em Validar para validar o analisador personalizado.

    O processo de validação pode demorar alguns minutos, por isso, recomendamos que pré-visualize primeiro o analisador personalizado, faça alterações, se necessário, e, em seguida, valide o analisador personalizado.

  12. Clique em Enviar.

    O analisador é ativado para o processo de normalização após 20 minutos.

Crie um analisador personalizado com base num analisador existente

Use um analisador existente como modelo para criar um novo analisador personalizado. Este método suporta apenas a abordagem baseada em código. Para começar, siga estes passos:

  1. No menu Aplicação, selecione Definições > Analisadores.

  2. Clique em Criar analisador.

  3. Selecione uma origem de registo adequada na lista Origem de registo.

  4. Selecione Começar com um analisador pré-criado existente para usar um analisador existente como base para criar um novo analisador personalizado.

  5. Clique em Criar.

  6. Edite o código no terminal de código do analisador. Para mais informações, consulte o artigo Crie uma instrução de mapeamento de fragmentos de código.

  7. Opcional: clique em Editar para editar o registo não processado.

  8. Opcional: clique em Atualizar para atualizar o registo não processado.

  9. À medida que adiciona código para criar o analisador, clique em Pré-visualizar para ver o resultado do UDM. É apresentada uma mensagem de erro se o código estiver incorreto.

    Na pré-visualização, pode usar o plug-in de filtro statedump para validar o estado interno de um analisador. Para mais informações, consulte o artigo Valide os dados através do plug-in statedump.

  10. Clique em Validar para validar o analisador personalizado.

    O processo de validação pode demorar alguns minutos, por isso, recomendamos que pré-visualize primeiro o analisador personalizado, faça alterações, se necessário, e, em seguida, valide o analisador personalizado.

  11. Clique em Enviar.

    O analisador é ativado para o processo de normalização após 20 minutos.

Desative um analisador personalizado

  1. No menu Aplicação, selecione Definições > Analizadores.

  2. Clique em Menu junto ao analisador que quer desativar e selecione Desativar na lista.

    É apresentada a caixa de diálogo Desativar analisador.

  3. Clique em Tornar inativo.

O analisador personalizado é desativado e a versão atual do analisador pré-criado é ativada após 20 minutos. O analisador pré-criado torna-se agora o analisador predefinido. O analisador personalizado é desativado e a versão atual do analisador pré-criado é ativada após 20 minutos. O analisador pré-criado torna-se agora o analisador predefinido.

Elimine um analisador personalizado

  1. No menu Aplicação, selecione Definições > Analizadores.

  2. Clique no Menu junto ao analisador personalizado que quer eliminar e selecione Eliminar na lista. Nota: não pode eliminar um analisador pré-criado.

    É apresentada a caixa de diálogo Eliminar analisador personalizado.

  3. Clique em Eliminar.

O analisador personalizado é eliminado e a versão atual do analisador pré-criado é ativada após 20 minutos.

Crie uma extensão

As extensões de análise sintática oferecem uma forma flexível de expandir as capacidades dos analisadores sintáticos predefinidos (predefinidos) e personalizados existentes. Não substituem os analisadores predefinidos nem os analisadores personalizados. Em alternativa, permitem a extração perfeita de campos adicionais do registo não processado original para o registo da UDM. Uma extensão de análise é diferente de um analisador personalizado.

Para criar uma extensão de análise, consulte o artigo Usar extensões de análise.

Controle o acesso à gestão do analisador

Por predefinição, os utilizadores com as funções de administrador e editor podem gerir as atualizações do analisador. Podem ser concedidas novas autorizações para controlar quem pode ver e gerir estas atualizações.

Para mais informações sobre a gestão de utilizadores e grupos, ou a atribuição de funções, consulte o guia do utilizador do controlo de acesso baseado em funções.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.