Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

事前構築済みパーサーとカスタムパーサーを管理する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Security Operations 内でパーサーを管理する方法について説明します。事前構築済みパーサーとカスタムパーサーのアップデートの処理方法、パーサー拡張機能の作成方法、パーサー管理機能へのアクセス制御方法について詳しく説明します。

事前構築済みパーサーのアップデートを管理する
事前構築済みパーサーのバージョンを管理する
カスタムパーサーを管理する
拡張機能を作成する
パーサー管理へのアクセスを制御する

パーサーのタイプ

パーサーのタイプとその機能について説明します。

パーサーのタイプ	説明
事前構築済み	元のログデータを UDM フィールドに変換するための組み込みマッピングを含む、Google SecOps によって作成されたパーサー。
事前構築済み拡張	追加のマッピング指示を使用してお客様が作成した事前構築済みパーサー。元の未加工ログから追加データを抽出し、UDM レコードに挿入します。
カスタム	事前構築済みではなく、元のログデータを UDM フィールドに変換するためのカスタムデータマッピング指示があるパーサー。
カスタム拡張	パーサー拡張機能を使用して追加のマッピング指示を行い、元の未加工ログから追加データを抽出し UDM レコードに挿入するカスタムパーサー。

パーサーのサポートレベル

Google SecOps では、次のレベルのパーサーサポートを提供しています。

パーサーのタイプ	説明とサポート
プレミアムパーサー	Google SecOps は、最も広く使用されている大容量のデータソースから高品質のパーサーを提供します。プレミアムパーサーのリクエストは、通常数日以内に処理されます。
標準パーサー	サポートされている他のデータソースについては、Google SecOps はベストエフォート型のサポートを提供します。新しいフィールドマッピングのリクエストは機能リクエストとして処理され、プロダクトバックログの一部となります。緊急のニーズに対応するには、セルフサービスパーサー拡張機能と自動抽出機能を使用できます。
カスタムビルドのパーサーと拡張機能	Google SecOps はこれらのサポートを提供していません。これらは、単独で管理するか、Google パートナーのサポートを受けて管理することをおすすめします。

プレミアムパーサーと標準パーサーの完全なリストについては、デフォルトパーサーの構成をご覧ください。

未加工ログを統合データモデル（UDM）形式に解析する概要については、ログ解析の概要をご覧ください。

事前構築済みパーサーのアップデートを管理する

Google SecOps は通常、毎月 4 週目に事前構築済みパーサーをアップデートします。これらのアップデートは、まず早期アクセスとテストのために提供されます。今後のパーサーのアップデートが利用可能になると、パーサーのリストでアップデートが [Pending] とマークされます。以前のパーサーバージョンと新しいパーサーバージョンの違いを確認したり、パーサーのアップデートを早期に有効にしてテストしたり、アップデートをスキップしてカスタムパーサーを作成したりできます。

保留中のアップデートを表示するには、次の操作を行います。

ログインして Google SecOps インスタンスにアクセスします。
[Settings] > [SIEM Settings] > [Parsers] を選択します。
[ Filter] をクリックします。
リストから [Prebuilt]、[Active]、および [Prebuilt Extended] を選択します。

有効な（デフォルトの）構築済みパーサーのリストが表示されます。今後行われるパーサーのアップデートは、[Update] 列に [Pending] と表示されます。
[Menu] をクリックし、リストから [View pending update] を選択します。

[Compare parsers] ページが表示されます。ここで、次の内容を表示できます。
- 現在のパーサーバージョンと今後のもののコード差異
- 今後のパーサーバージョンが検出ルールに与える影響を分析する
- [Change logs] タブの変更ログ
- サンプリングされた未加工ログに対して生成された UDM イベント
- パーサーが作成された日時
- パーサーコードが最後に更新された日時
パーサーのアップデートを早期に有効にするか、アップデートをスキップしてカスタムパーサーを作成するか、月の第 4 週にアップデートが自動適用されるまで待つことができます。

パーサーのアップデートを早期に有効にする

パーサー管理機能を使用すると、パーサーのアップデートを早期に有効にできます。たとえば、テストする場合などです。

パーサーのアップデートを早期に有効にするには、次の手順を行います。

[Compare parsers] ページで、[Make parser update active] をクリックします。

[Confirm parser update] ダイアログが表示されます。
[確認] をクリックします。

パーサーは 20 分後に正規化プロセスで有効になります。

**注:** このパーサーバージョンは、次のリリースサイクルまで有効です。

構築済みパーサーのアップデートをスキップする

現在の構築済みパーサーと今後の構築済みパーサーのアップデートをスキップするには、次のようにカスタムパーサーを作成します。

[Compare parsers] ページで、[Skip update] をクリックします。

[Skip update and create custom parser] ウィンドウが表示されます。
[Create custom parser] をクリックします。
[Type of parser to start with] で、現在の [Prebuilt Parser] または [Pending Parser Update] を選択します。
[作成] をクリックします。

注: このログソースにカスタムパーサーがすでに存在する場合、別のパーサーを作成することはできません。次のメッセージが表示されます: このログソースにはカスタムパーサーがすでに存在します
選択したバージョンは 20 分後に正規化プロセスで有効になります。これは、[Parsers] ページのパーサーリストに、[Custom] と [Active] と表示されます。以前の構築済みバージョンは [Prebuilt] と [Inactive] として表示されます。

注: 今後、事前構築されたパーサーのアップデートはすべて表示されますが、カスタムパーサーを無効にして事前構築されたバージョンに戻さない限り、適用されません。

事前構築されたパーサーの早期アップデートを元に戻す

パーサーのアップデートを早期に有効にした場合は、アップデートが自動的に有効になる月の第 4 週まで、以前のバージョンに戻すことができます。

以前のパーサーバージョンに戻すには、次の手順に沿って操作します。

[Application menu] から、 [Settings] > [Parsers] を選択します。
元に戻すパーサーの [Menu] をクリックします。
[表示] をクリックします。

[View prebuilt parser] ページが表示されます。
[以前のバージョンに戻す] をクリックします。

[Revert to previous] ダイアログが表示されます。ダイアログで [パーサーを比較] をクリックすると、現在のバージョンと以前のものとの違いを確認できます。
[Confirm] をクリックして、パーサーを以前のバージョンに戻します。

パーサーは 20 分後に以前のバージョンに戻ります。

今後のパーサーバージョンの影響を分析する

[影響チェック] を使用すると、変更を適用する前に、今後のパーサーバージョンが検出ルールに与える可能性のある影響を評価できます。悪影響を受けるルールについては、リンクをクリックして調査し、必要に応じてルールを更新できます。

単一イベントルールの場合、分析では、検出ルールが過去 30 日間に生成した検出をチェックします。これらの検出に対応するイベントに対して、現在のパーサーバージョンと今後のパーサーバージョンの両方が実行されます。このプロセスでは、検出を再生成して不一致がないか確認します。

マルチイベントルールの場合、分析では、すべてのイベントではなくイベントのサンプルを使用して、ヒューリスティック分析を行います。イベントが一致しない場合、この分析では結果が [Potentially failing] とマークされます。

今後のパーサーバージョンが検出ルールに与える影響の分析を実行するには、次の操作を行います。

Google SecOps コンソールで、[Settings] > [SIEM Settings] > [Parsers] に移動します。
特定の [Log type]（事前構築済みパーサー）を選択します。
パーサーの更新オプション（[Update to latest version]、[Rollback to last used version]、[Opt-in to a Release Candidate]）のいずれかを選択します。
パーサーの [Impact] タブに移動し、[Check impact on rules] をクリックします。影響チェックが完了するまでに時間がかかることがあります。
完了すると、次の情報が表示されます。
- パーサーのメタデータと、新しいバージョンが影響するルールのリスト。ルールのタイプと、違いを示す UDM フィールドの詳細が表示されます。
- 悪影響を受けるルールは、次のように分類されます。
  - 失敗: 新しいパーサーでは検出が発生しませんでしたが、現在のパーサーでは検出が発生しました。
  - Potentially failing: ルールロジックの UDM フィールドが変更されたルール（マルチイベントを含む）。これらのルールをさらに調査する必要があります。
これらのそれぞれについて、ルールエディタへのリンクをクリックして調査し、新しいパーサーバージョンで動作するようにルールを編集します。

事前構築済みパーサーのバージョンを管理する

Google SecOps は、ログが正しく解析されるように、事前構築済みパーサーを提供し、保守しています。組織のニーズに合わせて、新しいパーサーバージョンを環境に適用する方法を制御できます。

このセクションでは、Google SecOps でのパーサーバージョンの管理ライフサイクル全体について説明します。これには、自動更新の有効化と無効化、バージョン間のロジックの比較、新しいバージョンへの手動更新、以前のバージョンへのロールバックが含まれます。

パーサーの自動更新を有効または無効にする

自動更新をオフにすると、自動更新をオンにするか手動で更新するまで、パーサーは現在のバージョンのままになります。自動更新をオフにするには、次の操作を行います。

[Application menu] から、 [Settings] > [Parsers] を選択します。
必要な事前構築済みパーサーの [Menu] をクリックします。
[Turn off auto updates] をクリックします。

自動更新が有効になっている場合、パーサーは新しい安定版リリースごとに更新されます。自動更新をオンにするには、次の操作を行います。

[Application menu] から、 [Settings] > [Parsers] を選択します。
必要な事前構築済みパーサーの [Menu] をクリックします。
[Turn on auto updates] をクリックします。

パーサーのバージョンを手動で更新する

自動更新がオフになっている場合は、パーサーを新しいバージョンに更新するタイミングを選択できます。これにより、変更を適用する前に確認できます。

[Application menu] から、 [Settings] > [Parsers] を選択します。
必要なパーサーの [Menu] をクリックします。
[Update to latest version] を選択します。

[Compare parsers] ページが表示されます。表示される情報は次のとおりです。
- 現在のパーサーバージョンと新しいパーサーバージョンのコードの違い。
- 変更内容をまとめた [変更ログ] タブ。
- サンプリングされた未加工ログの UDM 出力。別のログに対して出力をテストするには、 [Edit] をクリックして、サンプリングされた未加工ログを編集します。
- パーサーコードが最後に更新された日時。
[Update parser] をクリックして、最新バージョンに更新します。

パーサーのバージョンをロールバックする

パーサーは、自動更新のステータスに関係なく、最後に使用したバージョンに戻すことができます。パーサーのバージョンをロールバックする手順は次のとおりです。

[Application menu] から、 [Settings] > [Parsers] を選択します。
必要なパーサーの [Menu] をクリックします。
[最後に使用したバージョンにロールバック] を選択します。

[Compare parsers] ページが表示されます。表示される情報は次のとおりです。
- 現在のパーサーバージョンと最後に使用したパーサーバージョンのコードの違い。
- 変更内容を示す [変更ログ] タブ。
- サンプリングされた未加工ログの UDM 出力。別のログに対して出力をテストするには、 [Edit] をクリックして、サンプリングされた未加工ログを編集します。
- パーサーコードが最後に更新された日時。
[Proceed to roll back] をクリックして、最後に使用したバージョンにロールバックします。

パーサーは、最後に使用したバージョンにロールバックされます。たとえば、バージョン 17.0 から 24.0 にアップグレードした場合、ロールバックすると 23.0 ではなく 17.0 に戻ります。

連続してロールバックできるのは 1 回のみです。ロールバックを実行すると、[Roll back] オプションは使用できなくなります。

以前のパーサーバージョンのサポートポリシー

事前構築済みパーサーの最新の安定版バージョンのみが、バグ修正と機能強化を受け取ります。自動更新を無効にして、以前のパーサーバージョンを使用している場合、そのバージョンにはパッチやアップデートが適用されません。この以前のバージョンで問題が発生した場合は、次の安定版リリースに修正が含まれます。修正を受け取るには、パーサーを最新の安定版バージョンに手動でアップグレードする必要があります。

カスタムパーサー

Google SecOps では、事前構築済みパーサーが利用できない場合や、より詳細な制御が必要な場合に、カスタムパーサーを作成できます。カスタムパーサーは、事前構築済みパーサーとともにパーサーリストに表示されます。

一般的なユースケースには次のものがあります。

事前構築済みパーサーがないログタイプのログデータを取り込む。

確認は次のいずれかの方法で行います。
- 未加工ログへのマッピング指示に基づいてカスタムパーサーを作成する。
- 既存のパーサーに基づいてカスタムパーサーを作成する。
事前構築済みパーサーのアップデートをスキップするためにカスタムパーサーを作成する。

マッピング指示に基づいてカスタムパーサーを作成する

元の未加工ログを UDM レコードに変換するコードを作成して、カスタムパーサーを作成できます。

その他の情報:

パーサーの構造の詳細については、ログ解析の概要をご覧ください。
パーサーの構文の詳細については、パーサー構文リファレンスをご覧ください。

パーサーを作成するときは、可能な限り多くの重要な UDM フィールドに入力するようにしてください。

[設定] に移動します。
[SIEM Settings] に移動します。
[パーサーを作成する] をクリックします。
[Log Source] リストから適切なログソースを選択します。
[Start with Raw Logs Only] を選択し、要件に応じて新しいパーサーを作成します。
[作成] をクリックします。
[Parser Code Terminal] にコードを入力します。詳細については、コードスニペットマッピング指示を作成するをご覧ください。

注: カスタムパーサーのロジックが正しくマッピングされ、有効な現在のタイムスタンプが生成されることを確認してください。カスタムパーサーがタイムスタンプを標準の保持期間外の日付に誤ってマッピングした場合、データは正常に取り込まれますが、ユーザーインターフェースで検索できなくなります。検索機能はフィルタリングにイベントタイムスタンプを使用するため、誤った日付にマッピングされたデータは、取り込みが成功しても事実上表示されません。
省略可: [Edit] をクリックして、既存の未加工ログを編集するか、コピーします。
省略可: [Load] をクリックして、最新の未加工ログを読み込みます。
[Preview] をクリックして UDM の出力を確認します。コードが正しくない場合は、エラーメッセージが表示されます。

プレビューでは、statedump フィルタプラグインを使用して、パーサーの内部状態を検証できます。詳細については、 statedump プラグインを使用してデータを検証するをご覧ください。
[Validate] をクリックして、カスタムパーサーを検証します。

検証プロセスには数分かかる場合があるため、まずカスタムパーサーをプレビューし、必要に応じて変更を加えてから、カスタムパーサーを検証することをおすすめします。
[送信] をクリックします。

パーサーは 20 分後に正規化プロセスで有効になります。

既存のパーサーに基づいてカスタムパーサーを作成する

既存のパーサーをテンプレートとして使用して、新しいカスタムパーサーを作成します。この方法は、コードベースのアプローチのみをサポートしています。使用を開始するには、以下の手順に沿って操作してください。

[**Application menu**] から、[**Settings**] > [**Parsers**] を選択します。
[パーサーを作成する] をクリックします。
[Log Source] リストから適切なログソースを選択します。
[既存のビルド済みパーサーで開始] を選択し、既存のパーサーをベースとして使用して新しいカスタムパーサーを作成します。

注: 選択したログソースに事前構築済みのパーサーがない場合、このオプションは表示されません。
[作成] をクリックします。
[Parser Code Terminal] でコードを編集します。詳細については、コードスニペットマッピング指示を作成するをご覧ください。
省略可: [Edit] をクリックして未加工ログを編集します。
省略可: [Refresh] をクリックして未加工ログを更新します。
パーサーを構築するコードを追加したら、[Preview] をクリックして UDM 出力を確認します。コードが正しくない場合は、エラーメッセージが表示されます。

プレビューでは、statedump フィルタプラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。
[Validate] をクリックして、カスタムパーサーを検証します。

検証プロセスには数分かかる場合があるため、まずカスタムパーサーをプレビューし、必要に応じて変更を加えてから、カスタムパーサーを検証することをおすすめします。
[送信] をクリックします。

パーサーは 20 分後に正規化プロセスで有効になります。

カスタムパーサーを無効にする

[Application menu] から、 [Settings] > [Parsers] を選択します。
無効にするパーサーの [Menu] をクリックし、リストから [Make inactive]を選択します。

[Make parser inactive] ダイアログが表示されます。
[Make inactive] をクリックします。

カスタムパーサーは無効になり、20 分後に現在の構築済みのパーサーバージョンが有効になります。構築済みパーサーがデフォルトパーサーになります。

カスタムパーサーを削除する

[Application menu] から、 [Settings] > [Parsers] を選択します。
削除するカスタムパーサーの [Menu] をクリックし、リストから [Delete] を選択します。注: 事前構築済みパーサーは削除できません。

[Delete custom parser] ダイアログが表示されます。
[削除] をクリックします。

カスタムパーサーは削除され、20 分後に現在の構築済みパーサーバージョンが有効になります。

拡張機能を作成する

パーサー拡張機能を使用すると、既存の構築済み（デフォルト）パーサーとカスタムパーサーの機能を柔軟に拡張できます。事前構築済みパーサーまたはカスタムパーサーを置き換えるものではありません。代わりに、元の未加工ログから UDM レコードに追加フィールドをシームレスに抽出できます。パーサー拡張機能はカスタムパーサーとは異なります。

パーサー拡張機能を作成するには、パーサー拡張機能を使用するをご覧ください。

パーサー管理へのアクセスを制御する

デフォルトでは、管理者と編集者のロールを持つユーザーは、パーサーのアップデートを管理できます。これらのアップデートを表示、管理できるユーザーを制御する新しい権限を付与できます。

ユーザーとグループの管理、またはロールの割り当ての詳細については、ロールベースアクセス制御ユーザーガイドをご覧ください。

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。