Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

事前構築済みパーサーとカスタムパーサーを管理する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Security Operations 内でパーサーを管理する方法について説明します。構築済みパーサーとカスタムパーサーの更新を処理する方法、パーサー拡張機能を作成する方法、パーサー管理機能へのアクセスを制御する方法について説明します。

事前構築済みパーサーのアップデートを管理する
事前構築済みパーサーのバージョンを管理する
カスタムパーサーを管理する
拡張機能を作成する
パーサー管理へのアクセスを制御する

パーサーのタイプ

パーサーのタイプとその機能について:

パーサーのタイプ	説明
事前構築済み	元のログデータを UDM フィールドに変換するためのマッピングが組み込まれた、Google SecOps によって作成されたパーサー。
事前構築済み拡張	追加のマッピング指示を使用してお客様が作成した事前構築済みパーサー。元の未加工ログから追加データを抽出し、UDM レコードに挿入します。
カスタム	事前構築されておらず、元のログデータを UDM フィールドに変換するためのカスタムデータマッピング指示を含むパーサー。
カスタム拡張	パーサー拡張機能を使用して追加のマッピング指示を行い、元の未加工ログから追加データを抽出し UDM レコードに挿入するカスタムパーサー。

事前構築済みパーサーのアップデートを管理する

Google SecOps は通常、毎月 4 週目に事前構築済みパーサーをアップデートします。これらのアップデートは、まず早期アクセスとテストのために提供されます。今後のパーサーのアップデートが利用可能になると、パーサーのリストでアップデートが [Pending] とマークされます。以前のパーサーバージョンと新しいパーサーバージョンの違いを確認したり、パーサーのアップデートを早期に有効にしてテストしたり、アップデートをスキップしてカスタムパーサーを作成したりできます。

保留中のアップデートを表示するには、次の操作を行います。

Google SecOps インスタンスにログインします。
[設定] > [SIEM の設定] > [パーサー] を選択します。
[フィルタ] をクリックします。
リストから [Prebuilt]、[Active]、[Prebuilt Extended] を選択します。

有効な（デフォルトの）構築済みパーサーのリストが表示されます。今後行われるパーサーのアップデートは、[Update] 列に [Pending] と表示されます。
[Menu] をクリックし、リストから [View pending update] を選択します。

[Compare parsers] ページが表示されます。ここで、次の内容を表示できます。
- 現在のパーサーバージョンと今後のもののコード差異
- 検出ルールに対する今後のパーサーバージョンの影響を分析する
- [Change logs] タブの変更ログ
- サンプリングされた未加工ログ用に生成された UDM イベント
- パーサーが作成された日時
- パーサーコードが最後にアップデートされた日時
パーサーのアップデートを早期に有効にするか、アップデートをスキップしてカスタムパーサーを作成するか、月の第 4 週にアップデートが自動適用されるまで待つことができます。

パーサーのアップデートを早期に有効にする

パーサー管理機能を使用すると、パーサーのアップデートを早期に有効にできます。たとえば、テストする場合などです。

パーサーのアップデートを早期に有効にするには、次の手順を行います。

[Compare parsers] ページで、[Make parser update active] をクリックします。

[Confirm parser update] ダイアログが表示されます。
[確認] をクリックします。

20 分後に、正規化プロセスでパーサーが有効になります。

注: このパーサーバージョンは、次のリリースサイクルまで有効です。

構築済みパーサーのアップデートをスキップする

現在の構築済みパーサーと今後の構築済みパーサーのアップデートをスキップするには、次のようにカスタムパーサーを作成します。

[Compare parsers] ページで、[Skip update] をクリックします。

[Skip update and create custom parser] ウィンドウが表示されます。
[Create custom parser] をクリックします。
[Type of parser to start with] で、現在の [Prebuilt Parser] または [Pending Parser Update] を選択します。
[作成] をクリックします。

注: このログソースにカスタムパーサーがすでに存在する場合は、別のパーサーを作成することはできません。[このログソースにはカスタムパーサーがすでに存在します] というメッセージが表示されます。
選択したバージョンは、20 分後に正規化プロセスで有効になります。これは、[Parsers] ページのパーサーリストに、[Custom] と [Active] と表示されます。以前の構築済みバージョンは [Prebuilt] と [Inactive] として表示されます。

注: 今後、事前構築されたパーサーのアップデートはすべて表示されますが、カスタムパーサーを無効にして事前構築されたバージョンに戻さない限り、適用されません。

事前構築されたパーサーの早期アップデートを元に戻す

パーサーのアップデートを早期に有効にした場合は、アップデートが自動的に有効になる月の第 4 週まで、以前のバージョンに戻すことができます。

以前のパーサーバージョンに戻すには、次の手順に沿って操作します。

のアプリケーションメニューから、[Settings] > [Parsers] を選択します。
元に戻すパーサーの [Menu] をクリックします。
[表示] をクリックします。

[View prebuilt parser] ページが表示されます。
[以前のバージョンに戻す] をクリックします。

[Revert to previous] ダイアログが表示されます。ダイアログで [パーサーを比較] をクリックすると、現在のバージョンと以前のものとの違いを確認できます。
[Confirm] をクリックして、パーサーを以前のバージョンに戻します。

20 分後に、パーサーは以前のバージョンに戻ります。

今後のパーサーバージョンの影響を分析する

影響チェックを使用すると、変更を適用する前に、今後のパーサーバージョンが検出ルールに与える可能性のある影響を評価できます。影響を受けるルールについては、リンクをクリックして調査し、必要に応じてルールを更新してください。

単一イベントルールの場合、分析では、過去 30 日間に検出ルールによって生成された検出がチェックされます。この機能は、これらの検出に対応するイベントに対して、現在のパーサーバージョンと今後のパーサーバージョンの両方を実行します。このプロセスでは、検出を再生成して不一致を確認します。

マルチイベントルールの場合、分析ではすべてのイベントではなくイベントのサンプルを使用して、ヒューリスティック分析を行います。イベントが一致しない場合、この分析では結果が「潜在的な失敗」としてマークされます。

今後のパーサーバージョンが検出ルールに与える影響の分析を実行する手順は次のとおりです。

Google SecOps コンソールで、[設定] > [SIEM 設定] > [パーサー] に移動します。
特定のログタイプ（事前構築済みパーサー）を選択します。
パーサーの更新オプション（[Update to latest version]、[Rollback to last used version]、[Opt-in to a Release Candidate]）のいずれかを選択します。
パーサーの [影響] タブに移動し、[ルールへの影響を確認] をクリックします。影響の確認が完了するまでに時間がかかることがあります。
完了すると、次の内容が表示されます。
- パーサーのメタデータと、新しいバージョンが影響するルールのリスト。ルールのタイプと、違いを示す UDM フィールドの詳細。
- システムは、悪影響を受けたルールを次のように分類します。
  - 失敗: 新しいパーサーでは検出されなかったが、現在のパーサーでは検出された。
  - 失敗する可能性がある: ルールロジック内の UDM フィールドが変更されたルール（マルチイベントを含む）。これらのルールについては、さらに調査する必要があります。
これらのそれぞれについて、ルールエディタへのリンクをクリックしてルールを調査し、新しいパーサーバージョンで動作するようにルールを編集します。

事前構築済みパーサーのバージョンを管理する

Google SecOps は、ログが正しく解析されるように、事前構築済みのパーサーを提供して維持します。組織のニーズに合わせて、新しいパーサーバージョンを環境に適用する方法を制御できます。

このセクションでは、Google SecOps におけるフルパーサーのバージョン管理ライフサイクルについて説明します。これには、自動更新の有効化と無効化、バージョン間のロジックの比較、新しいバージョンへの手動更新、以前のバージョンへのロールバックが含まれます。

パーサーの自動更新を有効または無効にする

自動更新をオフにすると、自動更新をオンにするか手動で更新するまで、パーサーは現在のバージョンのままになります。自動更新をオフにするには、次の手順に沿って操作します。

のアプリケーションメニューから、[設定] > [パーサー] を選択します。
必要なビルド済みパーサーの [メニュー] をクリックします。
[自動更新を無効にする] をクリックします。

自動更新が有効になっている場合、パーサーは新しい安定版がリリースされるたびに更新されます。自動更新を有効にするには、次の操作を行います。

アプリケーションメニューから、[Settings] > [Parsers] を選択します。
必要なビルド済みパーサーの [メニュー] をクリックします。
[自動更新を有効にする] をクリックします。

パーサーのバージョンを手動で更新する

自動更新がオフになっている場合は、パーサーを新しいバージョンに更新するタイミングを選択できます。これにより、変更を適用する前に確認できます。

アプリケーションメニューから、[Settings] > [Parsers] を選択します。
必要なパーサーの メニューをクリックします。
[最新バージョンに更新] を選択します。

[Compare parsers] ページが表示されます。表示される情報は次のとおりです。
- 現在のパーサーバージョンと新しいパーサーバージョンのコードの違い。
- 変更をまとめた [変更ログ] タブ。
- サンプリングされた未加工ログの UDM 出力。別のログに対して出力をテストするには、 [編集] をクリックして、サンプリングされた未加工ログを編集します。
- パーサーコードが最後に更新された日時。
[パーサーを更新] をクリックして、最新バージョンに更新します。

パーサーのバージョンをロールバックする

パーサーは、自動更新のステータスに関係なく、最後に使用したバージョンに戻すことができます。パーサーバージョンをロールバックする手順は次のとおりです。

のアプリケーションメニューから、[設定] > [パーサー] を選択します。
必要なパーサーの メニューをクリックします。
[最後に使用したバージョンにロールバック] を選択します。

[Compare parsers] ページが表示されます。表示される情報は次のとおりです。
- 現在のパーサーバージョンと最後に使用されたパーサーバージョンのコードの違い。
- 変更を表示する [変更ログ] タブ。
- サンプリングされた未加工ログの UDM 出力。別のログに対して出力をテストするには、 [編集] をクリックして、サンプリングされた未加工ログを編集します。
- パーサーコードが最後に更新された日時。
[ロールバックに進む] をクリックして、最後に使用したバージョンに戻します。

パーサーは、最後に使用したバージョンにロールバックされます。たとえば、バージョン 17.0 から 24.0 にアップグレードした場合、ロールバックすると 23.0 ではなく 17.0 に戻ります。

連続してロールバックできるのは 1 回のみです。ロールバックを実行すると、[ロールバック] オプションは使用できなくなります。

以前のパーサーバージョンのサポートポリシー

バグの修正と機能強化は、プリビルドパーサーの最新の安定版のみに適用されます。自動更新を無効にして以前のパーサーバージョンを使用し続ける場合、そのバージョンにはパッチや更新が適用されません。この以前のバージョンで問題を報告すると、次の安定版リリースで修正が適用されます。この修正を受け取るには、パーサーを手動で最新の安定版にアップグレードする必要があります。

カスタムパーサー

Google SecOps では、事前構築済みパーサーが利用できない場合や、より詳細な制御が必要な場合に、カスタムパーサーを作成できます。カスタムパーサーは、構築済みパーサーとともにパーサーのリストに表示されます。

一般的なユースケースには次のものがあります。

事前構築済みパーサーがないログタイプのログデータを取り込む。

確認は次のいずれかの方法で行います。
- マッピング指示に基づいてカスタムパーサーを作成し、未加工ログにマッピングします。
- 既存のパーサーに基づいてカスタムパーサーを作成する。
事前構築済みパーサーのアップデートをスキップするために、カスタムパーサーを作成する。

マッピング指示に基づいてカスタムパーサーを作成する

元の未加工ログを UDM レコードに変換するコードを記述して、カスタムパーサーを作成できます。

その他の情報:

パーサーの構造の詳細については、ログ解析の概要をご覧ください。
パーサー構文の詳細については、パーサー構文リファレンスをご覧ください。

パーサーを作成するときは、可能な限り多くの重要な UDM フィールドに入力するようにしてください。

[設定] に移動します。
[SIEM Settings] に移動します。
[パーサーを作成する] をクリックします。
[Log Source] リストから適切なログソースを選択します。
[Start with Raw Logs Only] を選択し、要件に応じて新しいパーサーを作成します。
[作成] をクリックします。
[Parser Code Terminal] にコードを入力します。詳細については、コードスニペットのマッピング指示を作成するをご覧ください。

注: カスタムパーサーのロジックが正しくマッピングされ、有効な現在のタイムスタンプが生成されることを確認してください。カスタムパーサーがタイムスタンプを標準の保持期間外の日付に誤ってマッピングすると、データは正常に取り込まれますが、ユーザーインターフェースで検索できなくなります。検索機能はフィルタリングにイベントタイムスタンプを使用するため、データが誤った日付にマッピングされていると、取り込みが成功してもデータは事実上表示されません。
省略可: [編集] をクリックして、既存の未加工ログを編集するか、コピーします。
省略可: [ 読み込む] をクリックして、最新の未加工ログを読み込みます。
[Preview] をクリックして UDM の出力を確認します。コードが正しくない場合は、エラーメッセージが表示されます。

プレビューでは、statedump フィルタプラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。
[Validate] をクリックして、カスタムパーサーを検証します。

検証プロセスには数分かかる場合があるため、まずカスタムパーサーをプレビューし、必要に応じて変更してから、カスタムパーサーを検証することをおすすめします。
[送信] をクリックします。

20 分後に、正規化プロセスでパーサーが有効になります。

既存のパーサーに基づいてカスタムパーサーを作成する

既存のパーサーをテンプレートとして使用して、新しいカスタムパーサーを作成します。この方法は、コードベースのアプローチのみをサポートします。使用を開始するには、以下の手順に沿って操作します。

のアプリケーションメニューから、[Settings] > [Parsers] を選択します。
[パーサーを作成する] をクリックします。
[Log Source] リストから適切なログソースを選択します。
[既存のビルド済みパーサーで開始] を選択し、既存のパーサーをベースとして使用して新しいカスタムパーサーを作成します。

注: 選択したログソースに事前構築済みのパーサーがない場合、このオプションは表示されません。
[作成] をクリックします。
パーサーコードターミナルでコードを編集します。詳細については、コードスニペットのマッピング指示を作成するをご覧ください。
省略可: [編集] をクリックして未加工ログを編集します。
省略可: [ 更新] をクリックして、未加工ログを更新します。
パーサーを構築するコードを追加したら、[Preview] をクリックして UDM 出力を確認します。コードが正しくない場合は、エラーメッセージが表示されます。

プレビューでは、statedump フィルタプラグインを使用して、パーサーの内部状態を検証できます。詳細については、statedump プラグインを使用してデータを検証するをご覧ください。
[Validate] をクリックして、カスタムパーサーを検証します。

検証プロセスには数分かかることがあるため、まずカスタムパーサーをプレビューし、必要に応じて変更してから、カスタムパーサーを検証することをおすすめします。
[送信] をクリックします。

20 分後に、正規化プロセスでパーサーが有効になります。

カスタムパーサーを非アクティブにする

のアプリケーションメニューから、[Settings] > [Parsers] を選択します。
無効にするパーサーの [Menu] をクリックし、リストから [Make inactive] を選択します。

[Make parser inactive] ダイアログが表示されます。
[Make inactive] をクリックします。

カスタムパーサーは無効になり、20 分後に現在の構築済みのパーサーバージョンが有効になります。構築済みパーサーがデフォルトパーサーになります。

カスタムパーサーを削除する

のアプリケーションメニューから、[Settings] > [Parsers] を選択します。
削除するカスタムパーサーの [Menu] をクリックし、リストから [Delete] を選択します。注: 組み込みのパーサーは削除できません。

[Delete custom parser] ダイアログが表示されます。
[削除] をクリックします。

カスタムパーサーは削除され、20 分後に現在の構築済みパーサーバージョンが有効になります。

拡張機能を作成する

パーサー拡張機能を使用すると、既存の構築済み（デフォルト）パーサーとカスタムパーサーの機能を柔軟に拡張できます。事前構築済みパーサーまたはカスタムパーサーを置き換えるものではありません。代わりに、元の未加工ログから UDM レコードに追加フィールドをシームレスに抽出できます。パーサー拡張機能はカスタムパーサーとは異なります。

パーサー拡張機能を作成するには、パーサー拡張機能を使用するをご覧ください。

パーサー管理へのアクセスを制御する

デフォルトでは、管理者と編集者のロールを持つユーザーは、パーサーのアップデートを管理できます。これらのアップデートを表示、管理できるユーザーを制御する新しい権限を付与できます。

ユーザーとグループの管理、またはロールの割り当ての詳細については、ロールベースアクセス制御ユーザーガイドをご覧ください。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。