Administra analizadores previamente compilados y personalizados

Compatible con:

En este documento, se proporciona orientación para administrar los analizadores dentro de Google Security Operations. Se detalla cómo controlar las actualizaciones de los analizadores sintácticos prediseñados y personalizados, crear extensiones de analizadores sintácticos y controlar el acceso a las funciones de administración de analizadores sintácticos:

Tipos de analizadores

Comprensión de los tipos de analizadores y sus funciones:

Tipo de analizador Descripción
Compilado previamente Son analizadores creados por Google SecOps que incluyen asignaciones integradas para transformar los datos de registro originales en campos del UDM.
Compilación previa extendida Es un analizador prediseñado creado por los clientes con instrucciones de asignación adicionales para extraer datos adicionales de un registro sin procesar original y, luego, insertarlos en el registro del UDM.
Personalizado Es un analizador que no está integrado previamente y que tiene instrucciones de asignación de datos personalizadas para transformar los datos de registro originales en campos del UDM.
Extensión personalizada Un analizador personalizado con instrucciones de asignación adicionales que usa una extensión de analizador para extraer datos adicionales de un registro sin procesar original y los inserta en el registro del UDM.

Niveles de compatibilidad del analizador

Google SecOps ofrece los siguientes niveles de asistencia para el analizador:

Tipo de analizador Descripción y asistencia
Analizadores premium Google SecOps proporciona analizadores de alta calidad de las fuentes de datos de gran volumen más utilizadas. Por lo general, las solicitudes de los clientes para obtener analizadores premium se procesan en unos días.
Analizadores estándar Para otras fuentes de datos compatibles, Google SecOps ofrece asistencia según el mejor esfuerzo. Las solicitudes de nuevas asignaciones de campos se manejan como solicitudes de funciones y forman parte del backlog del producto. Para satisfacer las necesidades inmediatas, puedes usar las extensiones del analizador de autoservicio y las capacidades de extracción automática.
Extensiones y analizadores creados de forma personalizada Google SecOps no ofrece asistencia para estas integraciones. Te recomendamos que administres esto de forma independiente o con la ayuda de los socios de Google.

Para obtener una lista completa de los analizadores Premium y Estándar, consulta Configuración predeterminada del analizador.

Para obtener una descripción general del análisis de registros sin procesar en el formato del modelo de datos unificado (UDM), consulta Descripción general del análisis de registros.

Administra las actualizaciones del analizador sintáctico prediseñado

Por lo general, Google SecOps actualiza sus analizadores prediseñados durante la cuarta semana de cada mes. Primero, estas actualizaciones se ponen a disposición de los clientes para que las prueben y accedan a ellas de forma anticipada. A medida que estén disponibles las próximas actualizaciones del analizador, se marcarán como actualizaciones Pendientes en la lista de analizadores. Puedes examinar la diferencia entre las versiones anteriores y las más recientes del analizador, activar la actualización del analizador de forma anticipada para probarlo o bien omitir la actualización y crear un analizador personalizado.

Para ver la actualización pendiente, haz lo siguiente:

  1. Accede a tu instancia de Google SecOps.

  2. Selecciona Configuración > Configuración de SIEM > Analizadores.

  3. Haz clic en Filtrar.

  4. Selecciona Prebuilt, Active y Prebuilt Extended en la lista.

    Se muestra una lista de los analizadores activos (predeterminados) y prediseñados. Las próximas actualizaciones del analizador se marcan como Pendientes en la columna Actualización.

  5. Haz clic en Menú y selecciona Ver actualización pendiente en la lista.

    Aparecerá la página Compare parsers. Aquí puedes ver lo siguiente:

    Puedes activar la actualización del analizador antes de tiempo, omitir la actualización y crear un analizador personalizado, o bien esperar a que la actualización se aplique automáticamente durante la cuarta semana del mes.

Activa la actualización del analizador con anticipación

La función de administración del analizador te permite activar la actualización del analizador con anticipación. Por ejemplo, si quieres probarlo.

Para que la actualización del analizador esté activa antes, sigue estos pasos:

  1. En la página Compare parsers, haz clic en Make parser update active.

    Aparecerá el diálogo Confirmar actualización del analizador.

  2. Haz clic en Confirmar.

    El analizador se activa para el proceso de normalización después de 20 minutos.

Cómo omitir las actualizaciones del analizador sintáctico prediseñado

Para omitir las actualizaciones del analizador sintáctico prediseñado actuales y futuras, crea un analizador sintáctico personalizado de la siguiente manera:

  1. En la página Compare parsers, haz clic en Skip update.

    Aparecerá la ventana Omitir actualización y crear un analizador personalizado.

  2. Haz clic en Crear un analizador personalizado.

  3. En Tipo de analizador con el que comenzar, selecciona el Analizador predefinido actual o la Actualización pendiente del analizador.

  4. Haz clic en Crear.

    La versión seleccionada se activa para el proceso de normalización después de 20 minutos. Aparece como Personalizado y Activo en la lista de analizadores de la página Analizadores. La versión prediseñada anterior aparece como Prediseñada y Inactiva.

Cómo revertir una actualización anticipada del analizador sintáctico prediseñado

Si activaste la actualización del analizador antes de tiempo, puedes volver a la versión anterior hasta la cuarta semana del mes, cuando se active la actualización automáticamente.

Para volver a la versión anterior del analizador, sigue estos pasos:

  1. En el menú de la aplicación, selecciona Configuración > Analizadores.

  2. Haz clic en Menú junto al analizador que quieres revertir.

  3. Haz clic en Ver.

    Aparecerá la página Ver el analizador sintáctico prediseñado.

  4. Haz clic en Revert to previous version.

    Aparecerá el diálogo Revert to previous. Puedes hacer clic en Compare Parsers en el diálogo para ver la diferencia entre las versiones actual y anterior.

  5. Haz clic en Confirmar para revertir el analizador a su versión anterior.

    El analizador se revierte a su versión anterior después de 20 minutos.

Analiza el impacto de la próxima versión del analizador

La verificación de impacto te permite evaluar el impacto potencial de la próxima versión del analizador en tus reglas de detección antes de aplicar los cambios. En el caso de las reglas afectadas negativamente, puedes seguir los vínculos para investigar y actualizar tus reglas según corresponda.

En el caso de las reglas de eventos únicos, el análisis verifica las detecciones que generaron tus reglas de detección durante los últimos 30 días. Ejecuta las versiones actual y próxima del analizador en los eventos correspondientes a esas detecciones. Este proceso vuelve a generar las detecciones para verificar si hay discrepancias.

En el caso de las reglas de varios eventos, el análisis utiliza una muestra de tus eventos en lugar de todos para realizar un análisis heurístico. Si los eventos no coinciden, este análisis marca el resultado como Potentially failing.

Para ejecutar un análisis del impacto de la próxima versión del analizador en tus reglas de detección, haz lo siguiente:

  1. En la consola de Google SecOps, ve a Configuración > Configuración de SIEM > Analizadores.
  2. Selecciona un Tipo de registro específico (analizador sintáctico prediseñado).
  3. Selecciona una de las opciones de actualización del analizador: Actualizar a la versión más reciente, Revertir a la última versión utilizada o Habilitar una versión candidata.
  4. Ve a la pestaña Impacto del analizador y haz clic en Verificar el impacto en las reglas. La verificación de impacto puede tardar un tiempo en completarse.

  5. Cuando se complete, el sistema mostrará lo siguiente:

    • Metadatos del analizador y una lista de las reglas que afecta la nueva versión, con detalles sobre el tipo de regla y los campos del UDM que muestran diferencias

    • El sistema categoriza las reglas afectadas negativamente de la siguiente manera:

      • Failing: El nuevo analizador no generó una detección, pero el analizador actual sí lo hizo.
      • Potencialmente con errores: Reglas (incluidas las de varios eventos) en las que cambiaron los campos del UDM en la lógica de la regla. Debes investigar más estas reglas.

    Para cada una de ellas, sigue el vínculo al editor de reglas para investigar y editar la regla de modo que funcione con la nueva versión del analizador.

Administra las versiones del analizador sintáctico prediseñado

Google SecOps proporciona y mantiene analizadores compilados previamente para garantizar que tus registros se analicen correctamente. Puedes controlar cómo se aplican las nuevas versiones del analizador en tu entorno para satisfacer las necesidades de tu organización.

En esta sección, se describe el ciclo de vida completo de la administración de versiones del analizador en Google SecOps. Esto incluye habilitar y deshabilitar las actualizaciones automáticas, comparar la lógica entre versiones, actualizar manualmente a versiones nuevas y revertir a versiones anteriores.

Cómo habilitar o inhabilitar las actualizaciones automáticas del analizador

Si desactivas las actualizaciones automáticas, el analizador permanecerá en su versión actual hasta que actives las actualizaciones automáticas o lo actualices de forma manual. Para desactivar las actualizaciones automáticas, haz lo siguiente:

  1. En el menú de la aplicación, selecciona Configuración > Analizadores.

  2. Haz clic en Menú para el analizador compilado previamente requerido.

  3. Haz clic en Desactivar las actualizaciones automáticas.

Cuando las actualizaciones automáticas están habilitadas, el analizador se actualiza con cada nueva versión estable. Para activar las actualizaciones automáticas, haz lo siguiente:

  1. En el menú de la aplicación, selecciona Configuración > Analizadores.

  2. Haz clic en Menú para el analizador compilado previamente requerido.

  3. Haz clic en Activar actualizaciones automáticas.

Actualiza una versión del analizador de forma manual

Si las actualizaciones automáticas están desactivadas, puedes elegir cuándo actualizar un analizador a una versión nueva. Esto te permite revisar los cambios antes de aplicarlos.

  1. En el menú de la aplicación, selecciona Configuración > Analizadores.

  2. Haz clic en Menú para el analizador requerido.

  3. Selecciona Actualizar a la versión más reciente.

    Aparecerá la página Compare parsers. Puedes ver lo siguiente:

    • Es la diferencia de código entre la versión actual y la nueva del analizador.

    • La pestaña Registro de cambios, que resume los cambios

    • Es el resultado del UDM para el registro sin procesar muestreado. Para probar el resultado con un registro diferente, haz clic en Editar para editar el registro sin procesar muestreado.

    • Fecha y hora en que se actualizó por última vez el código del analizador.

  4. Haz clic en Actualizar el analizador para actualizarlo a la versión más reciente.

Cómo revertir una versión del analizador

Puedes revertir un analizador a la versión que usaste por última vez, independientemente de su estado de actualización automática. Para revertir una versión del analizador, haz lo siguiente:

  1. En el menú de la aplicación, selecciona Configuración > Analizadores.

  2. Haz clic en Menú para el analizador requerido.

  3. Selecciona Revertir a la última versión usada.

    Aparecerá la página Compare parsers. Puedes ver lo siguiente:

    • Es la diferencia de código entre la versión actual y la última versión del analizador utilizada.

    • La pestaña Registro de cambios, que muestra los cambios.

    • Es el resultado del UDM para el registro sin procesar muestreado. Para probar el resultado con un registro diferente, haz clic en Editar para editar el registro sin procesar muestreado.

    • Fecha y hora en que se actualizó por última vez el código del analizador.

  4. Haz clic en Proceed to roll back para revertir a la última versión usada.

El analizador se revierte a la última versión que usaste. Por ejemplo, si actualizaste de la versión 17.0 a la 24.0, volver a la versión anterior te devolverá a la versión 17.0, no a la 23.0.

Solo puedes realizar una reversión consecutiva. Después de realizar una reversión, la opción Revertir ya no estará disponible.

Política de asistencia para versiones anteriores del analizador

Solo la versión estable más reciente de un analizador compilado previamente recibe correcciones de errores y mejoras. Si inhabilitas las actualizaciones automáticas y sigues usando una versión anterior del analizador, esa versión no recibirá parches ni actualizaciones. Si informas problemas con esta versión anterior, la próxima versión estable incluirá la corrección. Debes actualizar manualmente tu analizador a la versión estable más reciente para recibir la corrección.

Analizadores personalizados

Google SecOps te permite crear analizadores personalizados para los casos en los que no hay un analizador prediseñado disponible o cuando deseas tener más control. Los analizadores personalizados aparecen en la lista de analizadores, junto con los analizadores prediseñados.

Los casos de uso comunes incluyen los siguientes:

Crea un analizador personalizado basado en instrucciones de asignación

Puedes crear un analizador personalizado escribiendo código que convierta el registro de registro sin procesar original en un registro de UDM.

Lecturas adicionales:

Cuando crees un analizador, intenta completar la mayor cantidad posible de campos importantes de UDM.

  1. Ve a Configuración.

  2. Ve a Configuración de SIEM.

  3. Haz clic en Create Parser.

  4. Selecciona una fuente de registro adecuada en la lista Log Source.

  5. Selecciona Start with Raw Logs Only para crear un nuevo analizador según tus requisitos.

  6. Haz clic en Crear.

  7. Ingresa tu código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmentos de código.

  8. Opcional: Haz clic en Editar para editar el registro sin procesar o la copia existentes.

  9. Opcional: Haz clic en Cargar para cargar el registro sin procesar más reciente.

  10. Haz clic en Vista previa para ver la salida de UDM. Si el código es incorrecto, se mostrará un mensaje de error.

    En la vista previa, puedes usar el complemento de filtro statedump para validar el estado interno de un analizador. Para obtener más información, consulta Cómo validar datos con el complemento statedump.

  11. Haz clic en Validar para validar el analizador personalizado.

    El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices los cambios necesarios y, luego, valides el analizador personalizado.

  12. Haz clic en Enviar.

    El analizador se activa para el proceso de normalización después de 20 minutos.

Crea un analizador personalizado basado en un analizador existente

Usa un analizador existente como plantilla para crear un nuevo analizador personalizado. Este método solo admite el enfoque basado en código. Para comenzar, sigue estos pasos:

  1. En el menú de la aplicación, selecciona Configuración > Analizadores.

  2. Haz clic en Create Parser.

  3. Selecciona una fuente de registro adecuada en la lista Log Source.

  4. Selecciona Comienza con un analizador predefinido existente para usar un analizador existente como base para crear un nuevo analizador personalizado.

  5. Haz clic en Crear.

  6. Edita tu código en la terminal de código del analizador. Para obtener más información, consulta Cómo crear una instrucción de asignación de fragmentos de código.

  7. Opcional: Haz clic en Editar para editar el registro sin procesar.

  8. Opcional: Haz clic en Actualizar para actualizar el registro sin procesar.

  9. A medida que agregues código para compilar el analizador, haz clic en Vista previa para ver el resultado del UDM. Si el código es incorrecto, se mostrará un mensaje de error.

    En la vista previa, puedes usar el complemento de filtro statedump para validar el estado interno de un analizador. Para obtener más información, consulta Valida datos con el complemento statedump.

  10. Haz clic en Validar para validar el analizador personalizado.

    El proceso de validación puede tardar unos minutos, por lo que te recomendamos que primero obtengas una vista previa del analizador personalizado, realices los cambios necesarios y, luego, lo valides.

  11. Haz clic en Enviar.

    El analizador se activa para el proceso de normalización después de 20 minutos.

Cómo desactivar un analizador personalizado

  1. En el menú de la aplicación, selecciona Configuración > Analizadores.

  2. Haz clic en Menú junto al analizador que deseas inhabilitar y selecciona Inhabilitar en la lista.

    Aparecerá el cuadro de diálogo Make parser inactive.

  3. Haz clic en Inactivar.

El analizador personalizado se desactiva y la versión actual del analizador precompilado se activa después de 20 minutos. El analizador compilado previamente ahora se convierte en el analizador predeterminado.

Borra un analizador personalizado

  1. En el menú de la aplicación, selecciona Configuración > Analizadores.

  2. Haz clic en Menú junto al analizador personalizado que deseas borrar y selecciona Borrar en la lista. Nota: No puedes borrar un analizador sintáctico compilado previamente.

    Aparecerá el diálogo Borrar el analizador personalizado.

  3. Haz clic en Borrar.

El analizador personalizado se borra y la versión actual del analizador prediseñado se activa después de 20 minutos.

Crea una extensión

Las extensiones de analizador proporcionan una forma flexible de extender las capacidades de los analizadores prediseñados (predeterminados) y personalizados existentes. No reemplazan los analizadores sintácticos prediseñados ni personalizados. En cambio, permiten la extracción sin problemas de campos adicionales del registro sin procesar original en el registro de UDM. Una extensión del analizador es diferente de un analizador personalizado.

Para crear una extensión de análisis, consulta Cómo usar extensiones de análisis.

Controla el acceso a la administración del analizador

De forma predeterminada, los usuarios con roles de administrador y editor pueden administrar las actualizaciones del analizador. Se pueden otorgar permisos nuevos para controlar quién puede ver y administrar estas actualizaciones.

Para obtener más información sobre cómo administrar usuarios y grupos, o asignar roles, consulta la guía del usuario sobre el control de acceso basado en roles.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.