Visão geral da extração automática

Compatível com:

Este documento oferece uma visão geral de como os dados são extraídos automaticamente para melhorar a capacidade de ingerir, processar e analisar dados.

O Google Security Operations usa analisadores pré-criados para extrair e estruturar dados de registro usando o esquema do modelo de dados unificado (UDM, na sigla em inglês). O gerenciamento e a manutenção desses analisadores podem ser desafiadores devido a várias limitações: extração de dados incompleta, número crescente de analisadores a serem gerenciados e a necessidade de atualizações frequentes à medida que os formatos de registro evoluem.

Para resolver esses desafios, use o recurso de extração automática. Esse recurso extrai automaticamente pares de chave-valor de registros formatados em JSON e XML ingeridos no Google SecOps. Ele também oferece suporte a registros formatados em Syslog que incluem uma mensagem JSON. Esses dados extraídos são armazenados em um campo de tipo de mapa UDM chamado extracted. Em seguida, você pode usar esses dados em consultas de pesquisa UDM, painéis nativos e regras YARA-L.

Como prática recomendada, as pesquisas de UDM que usam campos extraídos precisam incluir metadata.log_type na consulta para melhorar o desempenho da consulta de pesquisa.

O benefício da extração automática é a redução da dependência de analisadores, garantindo que os dados permaneçam disponíveis, mesmo quando um analisador não está presente ou não consegue analisar um registro.

Analisar e extrair dados do registro bruto

  1. Análise: o Google SecOps tenta analisar os registros usando um analisador específico para o tipo de registro, se disponível. Se não houver um analisador específico ou se a análise falhar, o Google SecOps usará um analisador geral para extrair informações básicas, como carimbo de data/hora ingerido, tipo de registro e rótulos de metadados.

  2. Extração de dados: a extração automática não está ativada por padrão. Ative e selecione os campos específicos (pontos de dados) que você quer extrair dos registros.

  3. Enriquecimento de eventos: o Google SecOps combina os dados analisados e todos os campos formatados personalizados para criar eventos enriquecidos, fornecendo mais contexto e detalhes.

  4. Transferência de dados downstream: esses eventos enriquecidos são enviados a outros sistemas para análise e processamento adicionais.

Trabalhar com extratores

Os extratores permitem extrair campos de todas as origens de registro compatíveis e são projetados para otimizar o gerenciamento de registros. Ao usar extratores, você pode reduzir o tamanho do evento, melhorar a eficiência da análise e ter mais controle sobre a extração de dados. Isso é especialmente útil para gerenciar novos tipos de registro ou minimizar o tempo de processamento.

É possível criar extratores usando o menu Configurações do SIEM ou realizando uma pesquisa de registro bruto.

Criar extratores

  1. Acesse o painel Extrair campos adicionais usando um destes métodos:

    • Clique em Configurações do SIEM > Analisadores e faça o seguinte:
      1. Na tabela ANALISADORES que aparece, identifique um analisador (origem do registro) e clique em Menu > Estender analisador > Extrair campos adicionais.
    • Use Verificação de registro bruto e faça o seguinte:
      1. Selecione as origens de registro necessárias (analisadores) no menu Origens de registro.
      2. Nos resultados do registro bruto, selecione uma origem de registro para abrir o painel DADOS DO EVENTO.
      3. No painel DADOS DO EVENTO, clique em Gerenciar analisador > Estender analisador > Extrair campos adicionais.
    • Use a pesquisa UDM e faça o seguinte:
      1. Na guia EVENTOS nos resultados da pesquisa UDM, selecione uma origem de registro para conferir o painel Visualizador de eventos.
      2. Na guia Registro bruto, clique em Gerenciar analisador > Estender analisador > Extrair campos adicionais.

  2. Na guia Selecionar extratores no painel Extrair campos adicionais , selecione os campos de registro bruto necessários. Por padrão, é possível selecionar até 100 campos. Se não houver outros campos disponíveis para extração, um aviso será exibido.

    Clique na guia Referenciar registro bruto para conferir os dados de registro bruto e visualizar a saída do UDM.

  3. Clique em Salvar.

O extrator recém-criado é rotulado como EXTRACTOR. Os campos extraídos são exibidos na saída do UDM como extracted.field{"fieldName"}.

Conferir detalhes do extrator

  1. Acesse a linha do extrator na tabela ANALISADORES e clique em Menu > Estender analisador > Conferir extensão.
  2. Na página CONFERIR ANALISADORES PERSONALIZADOS, clique na guia Extensões e campos extraídos.

Essa guia mostra informações sobre extensões de analisador e campos de extrator. É possível modificar ou remover campos e visualizar a saída do analisador na página CONFERIR ANALISADORES PERSONALIZADOS.

Limitações

  • Se o tamanho de um evento UDM em lote exceder 8,2 MB, todos os campos extraídos serão descartados.
  • Se um único evento UDM exceder 500 KB, os campos extraídos serão descartados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.