Ringkasan Ekstraksi Otomatis

Didukung di:

Dokumen ini memberikan ringkasan tentang cara data diekstrak secara otomatis untuk meningkatkan kemampuan penyerapan, pemrosesan, dan analisis data.

Google Security Operations menggunakan parser bawaan untuk mengekstrak dan menyusun data log menggunakan skema Model Data Terpadu (UDM). Mengelola dan memelihara parser ini dapat menjadi tantangan karena beberapa batasan: ekstraksi data yang tidak lengkap, jumlah parser yang terus bertambah untuk dikelola, dan persyaratan untuk sering melakukan update seiring dengan perkembangan format log.

Untuk mengatasi tantangan ini, Anda dapat menggunakan fitur ekstraksi otomatis. Fitur ini secara otomatis mengekstrak pasangan kunci-nilai dari log berformat JSON dan berformat XML yang diserap ke Google SecOps. Fitur ini juga mendukung log berformat Syslog yang menyertakan pesan JSON. Data yang diekstrak ini disimpan dalam kolom jenis peta UDM yang disebut extracted. Anda kemudian dapat menggunakan data ini dalam kueri penelusuran UDM, Dasbor Native, dan aturan YARA-L.

Sebagai praktik terbaik, penelusuran UDM yang menggunakan kolom yang diekstrak harus menyertakan metadata.log_type dalam kueri untuk meningkatkan performa kueri penelusuran.

Manfaat ekstraksi otomatis adalah berkurangnya ketergantungan pada parser, sehingga memastikan data tetap tersedia, bahkan saat parser tidak ada atau gagal mengurai log.

Mengurai dan mengekstrak data dari log mentah

  1. Penguraian: Google SecOps mencoba mengurai log menggunakan parser khusus untuk jenis log, jika tersedia. Jika tidak ada parser tertentu, atau jika penguraian gagal, Google SecOps akan menggunakan parser umum untuk mengekstrak informasi dasar seperti stempel waktu yang diserap, jenis log, dan label metadata.

  2. Ekstraksi Data: Ekstraksi otomatis tidak diaktifkan secara default. Pilih dan pilih kolom tertentu (titik data) yang ingin Anda ekstrak dari log.

  3. Pengayaan Peristiwa: Google SecOps menggabungkan data yang diurai dan kolom berformat kustom untuk membuat peristiwa yang diperkaya, sehingga memberikan lebih banyak konteks dan detail.

  4. Transfer Data Hilir: Peristiwa yang diperkaya ini kemudian dikirim ke sistem lain untuk analisis dan pemrosesan lebih lanjut.

  • Jika ada parser: Ekstraksi otomatis default tidak terjadi. Anda harus memilih kolom tertentu yang diperlukan secara eksplisit, seperti yang dijelaskan di bagian Menggunakan ekstraktor.
  • Jika tidak ada parser: Ekstraksi otomatis akan dimulai secara otomatis dan mengekstrak 100 kolom pertama.

Menggunakan ekstraktor

Ekstraktor memungkinkan Anda mengekstrak kolom dari semua sumber log yang didukung, dan dirancang untuk mengoptimalkan pengelolaan log. Dengan menggunakan ekstraktor, Anda dapat mengurangi ukuran peristiwa, meningkatkan efisiensi penguraian, dan mendapatkan kontrol yang lebih baik atas ekstraksi data. Hal ini sangat berguna untuk mengelola jenis log baru atau meminimalkan waktu pemrosesan.

Anda dapat membuat ekstraktor menggunakan menu Setelan SIEM atau dengan melakukan penelusuran log mentah.

Membuat ekstraktor

  1. Buka panel Ekstrak Kolom Tambahan menggunakan salah satu metode berikut:

    • Klik Setelan SIEM > Parser, lalu lakukan hal berikut:
      1. Di tabel PARSER yang muncul, identifikasi parser (sumber log) lalu klik Menu > Perluas Parser > Ekstrak Kolom Tambahan.
    • Gunakan Pemindaian Log Mentah dan lakukan hal berikut:
      1. Pilih sumber log (parser) yang diperlukan dari menu Sumber Log.
      2. Dari hasil log mentah, pilih sumber log untuk membuka panel DATA PERISTIWA.
      3. Di panel DATA PERISTIWA, klik Kelola Parser > Perluas Parser > Ekstrak Kolom Tambahan.
    • Gunakan penelusuran UDM dan lakukan hal berikut:
      1. Di tab PERISTIWA di hasil penelusuran UDM, pilih sumber log untuk melihat panel Penampil Peristiwa.
      2. Di tab Log Mentah, klik Kelola Parser > Perluas Parser > Ekstrak Kolom Tambahan.

  2. Di tab Pilih Ekstraktor di panel Ekstrak Kolom Tambahan , pilih kolom log mentah yang diperlukan. Secara default, Anda dapat memilih hingga 100 kolom. Jika tidak ada kolom tambahan yang tersedia untuk diekstrak, pemberitahuan peringatan akan ditampilkan.

    Klik tab Referensi Log Mentah untuk melihat data log mentah dan melihat pratinjau output UDM.

  3. Klik Simpan.

Ekstraktor yang baru dibuat diberi label EXTRACTOR. Kolom yang diekstrak ditampilkan dalam output UDM sebagaiextracted.field{"fieldName"}.

Melihat detail ekstraktor

  1. Buka baris ekstraktor di tabel PARSER , lalu klik Menu > Perluas Parser > Lihat Ekstensi.
  2. Di halaman LIHAT PARSER KUSTOM, klik tab Ekstensi dan Kolom yang Diekstrak.

Tab ini menampilkan informasi tentang ekstensi parser dan kolom ekstraktor. Anda dapat mengubah atau menghapus kolom dan melihat pratinjau output parser dari halaman LIHAT PARSER KUSTOM.

Batasan

  • Jika ukuran peristiwa UDM batch melebihi 8,2 MB, semua kolom yang diekstrak akan dihilangkan.
  • Jika satu peristiwa UDM melebihi 500 KB, kolom yang diekstrak akan dihilangkan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.