Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Administra los analizadores compilados previamente

Compatible con:

Google secops SIEM

En este documento, se proporcionan instrucciones para administrar los analizadores en Google Security Operations. Se detalla cómo controlar las actualizaciones de los analizadores compilados previamente, crear extensiones de analizadores y controlar el acceso a la administración de analizadores.

¿Qué son los analizadores?

En Google Security Operations, un analizador es un conjunto de instrucciones que transforma los datos de registro sin procesar de varias fuentes en el formato del modelo de datos unificado (UDM). La normalización de los registros sin procesar en UDM es esencial porque permite que Google SecOps analice, busque y correlacione eventos de seguridad de manera eficaz en todos los datos transferidos, independientemente del formato de registro original. Para obtener una descripción general del análisis de registros, consulta Descripción general del análisis de registros.

¿Por qué se necesitan analizadores?

Los analizadores son fundamentales para que tus datos de seguridad se puedan usar en Google SecOps. Sin un análisis adecuado, los registros sin procesar no están estructurados y no se pueden buscar de manera eficaz, correlacionar con otros eventos de seguridad ni usar con reglas de detección. El proceso de normalización enriquece los datos sin procesar, ya que asigna campos clave a un esquema estandarizado que potencia las capacidades de análisis de Google SecOps.

¿Qué analizadores aparecen en la plataforma?

En la página Analizadores de la plataforma de Google SecOps, se muestran analizadores compilados previamente solo para los tipos de registros para los que ya transferiste datos. Si aún no transferiste ningún registro para un tipo de registro específico, el analizador compilado previamente correspondiente no aparecerá en la plataforma.

Por ejemplo, los tipos de registros como UDM (transferidos con la API de udmevents o sin registros sin procesar) y ciertos registros de Mandiant (transferidos con la API de CreateEntities) no requieren ni tienen analizadores asociados, ya que ya están en un formato estructurado. Por lo tanto, no aparecerán en la página Analizadores.

Para ver un analizador compilado previamente en la plataforma, asegúrate de haber transferido correctamente los datos para ese tipo de registro específico.

En este documento, se abarcan los siguientes aspectos clave de la administración de analizadores:

Administra las actualizaciones de analizadores compilados previamente
Administra las versiones de analizadores compilados previamente
Crea una extensión
Controla el acceso a la administración de analizadores

Tipos de analizadores

Información sobre los tipos de analizadores y sus funciones:

Tipo de analizador	Descripción
Compilado previamente	Analizadores creados por Google SecOps que incluyen asignaciones integradas para transformar los datos de registro originales en campos de UDM
Compilación previa extendida	Un analizador compilado previamente creado por clientes con instrucciones de asignación adicionales para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro de UDM
Personalizado	Un analizador que no está compilado previamente y que tiene instrucciones de asignación de datos personalizadas para transformar datos de registro originales en campos de UDM (para obtener más información, consulta Configura analizadores personalizados)
Extensión personalizada	Un analizador personalizado con instrucciones de asignación adicionales que usa una extensión de analizador para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro de UDM

Administra las actualizaciones de analizadores compilados previamente

Por lo general, Google SecOps actualiza sus analizadores compilados previamente durante la cuarta semana de cada mes. Estas actualizaciones primero se ponen a disposición de los clientes para el acceso anticipado y las pruebas. A medida que las próximas actualizaciones de los analizadores estén disponibles, se marcarán como Pendiente en la lista de analizadores. Puedes examinar la diferencia entre las versiones anteriores y las más recientes del analizador, o bien activar la actualización del analizador antes para probarla, o bien omitir la actualización y crear un analizador personalizado.

Para ver la actualización pendiente, haz lo siguiente:

Accede a tu instancia de Google SecOps.
Selecciona Configuración > Configuración de SIEM > Analizadores.
Haz clic en Filtrar.
Selecciona Compilado previamente, Activo y Compilación previa extendida de la lista.

Se muestra una lista de analizadores compilados previamente activos (predeterminado). Las próximas actualizaciones de los analizadores están marcadas como Pendiente en la columna Actualizar.
Haz clic en Menú y selecciona Ver actualización pendiente en la lista.

Aparecerá la página Comparar analizadores. Aquí, puedes ver lo siguiente:
- La diferencia de código entre la versión actual y la próxima del analizador
- Analiza el impacto de la próxima versión del analizador en tus reglas de detección
- Los registros de cambios en la pestaña Registros de cambios
- El evento de UDM generado para el registro sin procesar de muestra
  
  Nota: La muestra que se muestra es aleatoria y es posible que no muestre todos los campos modificados. Para cambiar la muestra de registro, haz clic en Editar y, luego, ingresa tu propia muestra. Luego, haz clic en Actualizar para actualizarla.
- La fecha y la hora en que se creó el analizador
- La fecha y la hora en que se actualizó por última vez el código del analizador
Puedes activar la actualización del analizador antes, omitir la actualización y crear un analizador personalizado, o bien esperar a que la actualización se aplique automáticamente durante la cuarta semana del mes.

Activa la actualización del analizador antes

La función de administración de analizadores te permite activar la actualización del analizador antes. Por ejemplo, si quieres probarla.

Para activar la actualización del analizador antes, sigue estos pasos:

En la página Comparar analizadores, haz clic en Activar la actualización del analizador.

Aparecerá el diálogo Confirmar actualización del analizador.
Haz clic en Confirmar.

El analizador se activa para el proceso de normalización después de 20 minutos.

Nota: Esta versión del analizador permanece activa hasta el próximo ciclo de lanzamiento.

Omite las actualizaciones de analizadores compilados previamente

Para omitir las actualizaciones actuales y futuras de los analizadores compilados previamente, crea un analizador personalizado de la siguiente manera:

En la página Comparar analizadores, haz clic en Omitir actualización.

Aparecerá la ventana Omitir actualización y crear analizador personalizado.
Haz clic en Crear analizador personalizado.
En Tipo de analizador para comenzar, selecciona el Analizador compilado previamente actual o la Actualización pendiente del analizador.
Haz clic en Crear.

Nota: Si ya existe un analizador personalizado para esta fuente del archivo de registro, no puedes crear otro. Se muestra el siguiente mensaje: Ya existe un analizador personalizado para esta fuente del archivo de registro.

La versión seleccionada se activa para el proceso de normalización después de 20 minutos. Aparece como Personalizado y Activo en la lista de analizadores de la página Analizadores. La versión anterior compilada previamente aparece como Compilado previamente y Inactivo.

Nota: Todas las actualizaciones futuras de los analizadores compilados previamente permanecen visibles, pero no se aplican a menos que inhabilite el analizador personalizado y vuelvas a la versión compilada previamente.

Revierte una actualización anticipada del analizador compilado previamente

Si activaste la actualización del analizador antes, puedes volver a la versión anterior hasta la cuarta semana del mes, cuando la actualización se activa automáticamente.

Para volver a la versión anterior del analizador, sigue estos pasos:

En el menú Aplicación de las apps, selecciona Configuración > Analizadores.
Haz clic en Menú junto al analizador que quieres revertir.
Haz clic en Ver.

Aparecerá la página Ver analizador compilado previamente.
Haz clic en Volver a la versión anterior.

Aparecerá el diálogo Volver a la versión anterior. Puedes hacer clic en Comparar analizadores en el diálogo para ver la diferencia entre la versión actual y la anterior.
Haz clic en Confirmar para revertir el analizador a su versión anterior.

El analizador vuelve a su versión anterior después de 20 minutos.

Analiza el impacto de la próxima versión del analizador

La verificación de impacto te permite evaluar el impacto potencial de la próxima versión del analizador en tus reglas de detección antes de aplicar los cambios. En el caso de las reglas afectadas de forma negativa, puedes seguir los vínculos para investigar y actualizar tus reglas en consecuencia.

En el caso de las reglas de un solo evento, el análisis verifica las detecciones que generaron tus reglas de detección durante los últimos 30 días. Ejecuta las versiones actuales y próximas del analizador en los eventos correspondientes a esas detecciones. Este proceso vuelve a generar las detecciones para verificar si hay discrepancias.

En el caso de las reglas de varios eventos, el análisis usa una muestra de tus eventos en lugar de todos los eventos para realizar un análisis heurístico. Si los eventos no coinciden, este análisis marca el resultado como Posible falla.

Para ejecutar un análisis del impacto de la próxima versión del analizador en tus reglas de detección, haz lo siguiente:

En la consola de Google SecOps, ve a Configuración > Configuración de SIEM > Analizadores.
Selecciona un Tipo de registro específico (analizador compilado previamente).
Selecciona una de las opciones de actualización del analizador: Actualizar a la versión más reciente, Revertir a la última versión usada o Habilitar una versión candidata.
Ve a la pestaña Impacto del analizador y haz clic en Verificar el impacto en las reglas. La verificación de impacto puede tardar un tiempo en completarse.
Una vez completada, el sistema muestra lo siguiente:
- Metadatos del analizador y una lista de reglas que afecta la versión nueva, en la que se detallan el tipo de regla y los campos de UDM que muestran diferencias
- El sistema categoriza las reglas afectadas de forma negativa de la siguiente manera:
  - Falla: El analizador nuevo no generó una detección, pero el analizador actual sí.
  - Posible falla: Reglas (incluidas las de varios eventos) en las que cambiaron los campos de UDM en la lógica de la regla. Debes investigar más estas reglas.
Para cada una de ellas, sigue el vínculo al editor de reglas para investigar y editar la regla para que funcione con la nueva versión del analizador.

Administra las versiones de analizadores compilados previamente

Google SecOps proporciona y mantiene analizadores compilados previamente para garantizar que tus registros se analicen correctamente. Puedes controlar cómo se aplican las versiones nuevas del analizador en tu entorno para satisfacer las necesidades de tu organización.

En esta sección, se describe el ciclo de vida completo de la administración de versiones del analizador en Google SecOps. Esto incluye habilitar y inhabilitar las actualizaciones automáticas, comparar la lógica entre versiones, actualizar manualmente a versiones nuevas y revertir a versiones anteriores.

Habilita o inhabilita las actualizaciones automáticas del analizador

Si desactivas las actualizaciones automáticas, el analizador permanece en su versión actual hasta que actives las actualizaciones automáticas o lo actualices de forma manual. Para desactivar las actualizaciones automáticas, haz lo siguiente:

En el menú Aplicación, selecciona Configuración > Analizadores.
Haz clic en Menú para el analizador compilado previamente requerido.
Haz clic en Desactivar actualizaciones automáticas.

Cuando se habilitan las actualizaciones automáticas, el analizador se actualiza con cada lanzamiento estable nuevo. Para activar las actualizaciones automáticas, haz lo siguiente:

En el menú Aplicación, selecciona Configuración > Analizadores.
Haz clic en Menú para el analizador compilado previamente requerido.
Haz clic en Activar actualizaciones automáticas.

Actualiza una versión del analizador de forma manual

Si las actualizaciones automáticas están desactivadas, puedes elegir cuándo actualizar un analizador a una versión nueva. Esto te permite revisar los cambios antes de aplicarlos.

En el menú Aplicación, selecciona Configuración > Analizadores.
Haz clic en Menú para el analizador requerido.
Selecciona Actualizar a la versión más reciente.

Aparecerá la página Comparar analizadores. Puedes ver lo siguiente:
- La diferencia de código entre la versión actual y la nueva del analizador
- La pestaña Registro de cambios, que resume los cambios
- El resultado de UDM para el registro sin procesar de muestra (para probar el resultado con un registro diferente, haz clic en Editar para editar el registro sin procesar de muestra)
- La fecha y la hora en que se actualizó por última vez el código del analizador
Haz clic en Actualizar analizador para actualizarlo a la versión más reciente.

Revierte una versión del analizador

Puedes revertir un analizador a la versión que usaste por última vez, independientemente de su estado de actualización automática. Para revertir una versión del analizador, haz lo siguiente:

En el menú Aplicación, selecciona Configuración > Analizadores.
Haz clic en Menú para el analizador requerido.
Selecciona Revertir a la última versión usada.

Aparecerá la página Comparar analizadores. Puedes ver lo siguiente:
- La diferencia de código entre la versión actual y la última usada del analizador
- La pestaña Registro de cambios, que muestra los cambios
- El resultado de UDM para el registro sin procesar de muestra (para probar el resultado con un registro diferente, haz clic en Editar para editar el registro sin procesar de muestra)
- La fecha y la hora en que se actualizó por última vez el código del analizador
Haz clic en Continuar para revertir para volver a la última versión usada.

El analizador vuelve a la última versión que usaste. Por ejemplo, si actualizaste de la versión 17.0 a la 24.0, la reversión te devolverá a la 17.0, no a la 23.0.

Solo puedes realizar una reversión consecutiva. Después de realizar una reversión, la opción Revertir ya no estará disponible.

Política de asistencia para versiones anteriores del analizador

Solo la versión estable más reciente de un analizador compilado previamente recibe correcciones de errores y mejoras. Si inhabilitas las actualizaciones automáticas y permaneces en una versión anterior del analizador, esa versión no recibe parches ni actualizaciones. Si informas problemas con esta versión anterior, el próximo lanzamiento estable incluirá la corrección. Debes actualizar manualmente tu analizador a la versión estable más reciente para recibir la corrección.

Crea una extensión

Las extensiones de analizadores proporcionan una forma flexible de extender las capacidades de los analizadores compilados previamente (predeterminados) existentes. No reemplazan a los analizadores compilados previamente. En cambio, permiten la extracción sin problemas de campos adicionales del registro sin procesar original en el registro de UDM. Una extensión de analizador es diferente de un analizador personalizado.

Para crear una extensión de analizador, consulta Usa extensiones de analizadores.

Controla el acceso a la administración de analizadores

De forma predeterminada, los usuarios con roles de Administrador y Editor pueden administrar las actualizaciones del analizador. Se pueden otorgar permisos nuevos para controlar quién puede ver y administrar estas actualizaciones.

Para obtener más información sobre la administración de usuarios y grupos, o la asignación de roles, consulta la guía del usuario de control de acceso basado en roles.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.