管理预构建和自定义解析器
本文档介绍了如何使用解析器管理功能创建自定义解析器,或者选择加入或退出由 Google Security Operations 发起的预构建解析器更新。
对预构建解析器的更改会作为候选版本定期发布。在候选版本期间,您可以选择使用待更改项更新一个或多个解析器。每 4 周,当待处理的解析器更改提升为默认值时,待处理的更新会自动变为活跃状态。评估变更所需的时间取决于变更在候选版本期间的发布时间。
借助解析器管理功能,您可以在候选版本期间检查和测试更新。您可以查看预构建解析器的过往更改列表,以及发布频率中即将发生的更改。然后,您可以选择启用或停用更新。
借助 Google Security Operations,您还可以灵活地为没有预构建解析器的日志类型创建自定义解析器。您可以直接根据原始日志创建一个全新的解析器,也可以将现有解析器用作新的自定义解析器的基础。您可以为预构建或自定义解析器创建解析器扩展程序,从而扩展映射指令。
各种类型的解析器如下所示:
| 解析器类型 | 说明 |
|---|---|
| 预构建 | 由 Google Security Operations 创建的解析器,包含用于将原始日志数据转换为 UDM 字段的内置数据映射指令。 |
| 预构建扩展 | 由客户创建的预构建解析器,其中包含额外的映射指令,用于从原始原始日志中提取其他数据并将其插入 UDM 记录。 |
| 自定义 | 由客户创建的解析器,具有将原始日志数据转换为 UDM 字段的自定义数据映射说明。 |
| 自定义扩展 | 由具有额外映射指令的客户创建的自定义解析器,使用解析器扩展程序从原始原始日志中提取其他数据并将其插入 UDM 记录。 |
准备工作
以下文档介绍了对于管理解析器更新非常重要的先决概念:
根据映射说明创建自定义解析器
您可以通过编写可将原始原始日志转换为 UDM 记录的代码来创建自定义解析器。如需了解解析器的结构,请参阅日志解析概览和解析器语法参考,了解语法。创建解析器时,请确保数据映射说明填充尽可能多的重要 UDM 字段。
在导航栏中,选择设置 > SIEM 设置。
点击 Create Parser。
从日志源列表中选择适当的日志源。
选择仅从原始日志开始,根据您的要求创建新的解析器。
点击创建。
在解析器代码终端中输入代码。如需了解详情,请参阅创建代码段映射说明。
可选:点击 修改现有原始日志或副本。
可选:点击 以加载最新的原始日志。
点击预览以查看 UDM 输出。如果验证码不正确,系统会显示错误消息。
在预览版中,您可以使用 statedump 过滤器插件验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证以验证自定义解析器。
验证流程可能需要几分钟的时间,因此我们建议您先预览自定义解析器,根据需要进行更改,然后再验证该自定义解析器。
点击提交。
20 分钟后,选择解析器进行标准化。
基于现有解析器创建自定义解析器
您可以使用现有解析器作为模板来创建新的解析器。您只能使用代码方法创建自定义解析器。如需基于现有解析器创建自定义解析器,请按以下步骤操作:
从 应用菜单中,依次选择 Settings > Parsers。
点击 Create Parser。
从日志源列表中选择适当的日志源。
选择从现有的预构建解析器开始,以现有解析器为基础创建新的自定义解析器。
点击创建。
在解析器代码终端中修改代码。如需了解详情,请参阅创建代码段映射说明。
可选:点击 以修改原始日志。
可选:点击 以刷新原始日志。
在添加代码来构建解析器时,点击 Preview 以查看 UDM 输出。如果验证码不正确,系统会显示错误消息。
在预览版中,您可以使用 statedump 过滤器插件验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证以验证自定义解析器。
验证流程可能需要几分钟的时间,因此我们建议您先预览自定义解析器,根据需要进行更改,然后再验证该自定义解析器。
点击提交。
20 分钟后,选择解析器进行标准化。
管理预构建解析器更新
当 Google Security Operations 发布对解析器的更新时,更新将处于待处理状态 15 天。如需选择启用或停用解析器更新,请通过执行以下操作来检查旧版和新版解析器之间的区别:
登录您的 Google Security Operations 实例。
从 应用菜单中,依次选择 Settings > Parsers。
点击 过滤条件。
从列表中选择 Prebuilt、Active 和 Prebuilt Extended。
系统会显示您的有效预构建解析器。预构建解析器是 Google Security Operations 发布的默认解析器。如果 Update 列的状态是 Pending,则表示解析器有您可以检查的更新。
点击 Menu,然后从列表中选择 View pending update。
随即会出现比较解析器页面。在这里,您可以查看以下信息:
当前版本和即将推出的解析器版本的代码差异
变更日志标签页中的变更日志
为采样原始日志生成的 UDM 事件
您可以提前选择启用更新,等待 15 天后自动应用更新,或者选择停用更新。
尽早选择接收解析器更新
借助解析器管理功能,您可以尽早选择更新解析器并进行测试。只有在使用预构建的解析器时,才能提前选择启用解析器更新。提前选择启用后,您可以在更新发布后 15 天内将解析器还原为其早期版本。如需尽早选择接收更新,请按以下步骤操作:
在比较解析器页面上,点击启用解析器更新。
系统随即会显示 Confirm parser update 对话框。
点击确认。
20 分钟后,选择解析器进行标准化。
选择停用解析器更新
如需停用当前和未来的解析器更新,请创建自定义解析器。您可以将当前或更新版本的解析器用作自定义解析器。您可以看到对自定义解析器的所有后续更新,但除非您选择启用更新,否则系统不会应用这些更新。如需选择停用当前或未来的更新,请按以下步骤操作:
在比较解析器页面上,点击跳过更新。
系统随即会显示 Skip update and create custom parser 窗口。
点击 Create custom parser(创建自定义解析器)。
如需将默认解析器版本设置为自定义解析器,请选择 Prebuilt parser。如需将更新版本设置为自定义解析器,请选择 Pending Parser Update(待处理解析器更新)。
点击创建。
将在 20 分钟后选择所选版本进行标准化。在解析器页面上的解析器列表中,它显示为自定义和活跃。早期的预构建版本显示为预构建和无效。
管理自定义解析器更新
当您选择停用预构建解析器更新时,系统会创建一个自定义解析器。自定义解析器作为新条目显示在解析器列表中。
停用自定义解析器
从 应用菜单中,依次选择 Settings > Parsers。
针对您要设为非活跃状态的解析器点击 Menu,然后从列表中选择 Make inactive。
系统随即会显示 Make parser inactive 对话框。
点击设为无效。
自定义解析器被停用,默认解析器版本会在 20 分钟后启用。也就是说,自定义解析器会变为预构建的解析器。如果您通过带有更新的预构建解析器创建了自定义解析器,那么当您将自定义解析器还原为预构建的解析器时,这些更新将会丢失。您必须再次选择启用解析器更新。
删除自定义解析器
从 应用菜单中,依次选择 Settings > Parsers。
点击要删除的解析器对应的 菜单,然后从列表中选择删除。
此时将显示 Delete custom parser 对话框。
点击删除。
系统将删除自定义解析器,并在 20 分钟后激活默认解析器版本。也就是说,自定义解析器会变为预构建的解析器。如果您通过带有更新的预构建解析器创建了自定义解析器,那么当您将自定义解析器还原为预构建的解析器时,这些更新将会丢失。您必须再次选择启用解析器更新。
创建扩展程序
您可以通过定义自定义映射指令来扩展自定义或预构建解析器,以从原始原始日志中提取其他数据。您可以将数据插入由自定义解析器生成的 UDM 记录。您无法使用解析器扩展创建新的解析器。
如需了解如何创建解析器扩展,请参阅使用解析器扩展。
还原预构建解析器的早期更新
如果您提前选择启用解析器更新,则可以在 15 天内还原到先前版本。如需切换回之前的解析器版本,请按以下步骤操作:
从 应用菜单中,依次选择 Settings > Parsers。
点击要还原的解析器对应的 菜单。
点击查看。
随即会出现查看预构建解析器页面。
点击还原为先前版本。
系统随即会显示还原至上一个对话框。您可以点击对话框中的比较解析器,查看当前版本与先前版本之间的差异。
点击确认,将解析器恢复到之前的版本。
解析器会在 20 分钟后还原为之前的版本。
控制对解析器管理的访问权限
默认情况下,解析器更新可以由具有管理员和编辑者角色的用户管理。可以授予新权限来控制谁可以查看和管理解析器更新。如需详细了解如何管理用户和群组或分配角色,请参阅基于角色的访问权限控制用户指南。