Mengelola parser bawaan dan kustom

Didukung di:

Dokumen ini memberikan panduan tentang cara mengelola parser dalam Google Security Operations. Bagian ini menjelaskan cara menangani update pada parser bawaan dan kustom, membuat ekstensi parser, dan mengontrol akses ke fitur pengelolaan parser:

Jenis parser

Memahami jenis parser dan fungsinya:

Jenis parser Deskripsi
Siap Pakai Parser yang dibuat oleh Google SecOps yang mencakup pemetaan bawaan untuk mengubah data log asli menjadi kolom UDM.
Siap pakai ekstra Parser bawaan yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan untuk mengekstrak data tambahan dari log raw asli dan memasukkannya ke dalam data UDM.
Kustom Parser yang tidak dibuat sebelumnya dan memiliki petunjuk pemetaan data kustom untuk mengubah data log asli menjadi kolom UDM.
Ekstra kustom Parser kustom dengan petunjuk pemetaan tambahan yang menggunakan ekstensi parser untuk mengekstrak data tambahan dari log raw asli dan memasukkannya ke dalam rekaman UDM.

Tingkat dukungan parser

Google SecOps menawarkan tingkat dukungan parser berikut:

Jenis Parser Deskripsi dan Dukungan
Parser premium Google SecOps menyediakan parser berkualitas tinggi dari sumber data bervolume tinggi yang paling banyak digunakan. Permintaan pelanggan untuk parser premium biasanya diproses dalam beberapa hari.
Parser standar Untuk sumber data lain yang didukung, Google SecOps menawarkan dukungan upaya terbaik. Permintaan pemetaan kolom baru ditangani sebagai permintaan fitur dan merupakan bagian dari backlog produk. Untuk memenuhi kebutuhan mendesak, Anda dapat menggunakan ekstensi parser layanan mandiri dan kemampuan Ekstraksi otomatis.
Parser dan ekstensi buatan kustom Google SecOps tidak menawarkan dukungan untuk integrasi ini. Sebaiknya Anda mengelola hal ini secara mandiri atau dengan bantuan dari partner Google.

Untuk daftar lengkap parser Premium dan Standar, lihat Konfigurasi Parser Default.

Untuk mengetahui ringkasan penguraian log mentah ke format Model Data Terpadu (UDM), lihat Ringkasan penguraian log.

Mengelola update parser bawaan

Google SecOps biasanya mengupdate parser siap pakainya selama minggu keempat setiap bulan. Pembaruan ini pertama kali tersedia untuk pelanggan yang memiliki akses awal dan pengujian. Saat update parser mendatang tersedia, update tersebut ditandai sebagai update Tertunda dalam daftar parser. Anda dapat memeriksa perbedaan antara versi parser yang lebih lama dan yang lebih baru, atau mengaktifkan update parser lebih awal untuk mengujinya, atau melewati update dan membuat parser kustom.

Untuk melihat update yang tertunda, lakukan langkah berikut:

  1. Login ke instance Google SecOps Anda.

  2. Pilih Setelan > Setelan SIEM > Parser.

  3. Klik Filter.

  4. Pilih Bawaan, Aktif, dan Bawaan yang Diperluas dari daftar.

    Daftar parser bawaan yang aktif (default) akan ditampilkan. Update parser mendatang ditandai sebagai Tertunda di kolom Update.

  5. Klik Menu, lalu pilih Lihat update tertunda dari daftar.

    Halaman Bandingkan parser akan muncul. Di sini, Anda dapat melihat hal-hal berikut:

    Anda dapat mengaktifkan update parser lebih awal, melewati update dan membuat parser kustom, atau menunggu update diterapkan secara otomatis selama minggu keempat bulan.

Mengaktifkan update parser lebih awal

Fitur pengelolaan parser memungkinkan Anda mengaktifkan update parser lebih awal. Misalnya, jika Anda ingin mengujinya.

Untuk mengaktifkan update parser lebih awal, ikuti langkah-langkah berikut:

  1. Di halaman Compare parser, klik Make parser update active.

    Dialog Konfirmasi update parser akan muncul.

  2. Klik Konfirmasi.

    Parser diaktifkan untuk proses normalisasi setelah 20 menit.

Melewati update parser bawaan

Untuk melewati update parser bawaan saat ini dan mendatang, buat parser kustom sebagai berikut:

  1. Di halaman Compare parsers, klik Skip update.

    Jendela Lewati update dan buat parser kustom akan muncul.

  2. Klik Buat parser kustom.

  3. Untuk Jenis parser yang akan digunakan, pilih Parser Siap Pakai saat ini, atau Update Parser Tertunda.

  4. Klik Create.

    Versi yang dipilih diaktifkan untuk proses normalisasi setelah 20 menit. Parser ini akan muncul sebagai Kustom dan Aktif dalam daftar parser di halaman Parser. Versi bawaan sebelumnya akan muncul sebagai Bawaan dan Tidak Aktif.

Mengembalikan update awal parser bawaan

Jika mengaktifkan update parser lebih awal, Anda masih dapat mengembalikan ke versi sebelumnya hingga minggu keempat bulan tersebut, saat update diaktifkan secara otomatis.

Untuk beralih kembali ke versi parser sebelumnya, ikuti langkah-langkah berikut:

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Menu pada parser yang ingin Anda kembalikan.

  3. Klik View.

    Halaman Lihat parser bawaan akan muncul.

  4. Klik Kembalikan ke versi sebelumnya.

    Dialog Kembali ke versi sebelumnya akan muncul. Anda dapat mengklik Bandingkan Parser pada dialog untuk melihat perbedaan antara versi saat ini dan versi sebelumnya.

  5. Klik Konfirmasi untuk mengembalikan parser ke versi sebelumnya.

    Parser akan dikembalikan ke versi sebelumnya setelah 20 menit.

Menganalisis dampak versi parser mendatang

Dengan pemeriksaan dampak, Anda dapat menilai potensi dampak versi parser mendatang pada aturan deteksi sebelum menerapkan perubahan. Untuk aturan yang terpengaruh secara negatif, Anda dapat mengikuti link untuk menyelidiki dan memperbarui aturan Anda sebagaimana mestinya.

Untuk aturan satu peristiwa, analisis memeriksa deteksi yang dihasilkan oleh aturan deteksi Anda selama 30 hari terakhir. Deteksi ini menjalankan versi parser saat ini dan mendatang pada peristiwa yang sesuai dengan deteksi tersebut. Proses ini membuat ulang deteksi untuk memeriksa ketidakcocokan.

Untuk aturan multi-peristiwa, analisis menggunakan sampel peristiwa, bukan semua peristiwa, untuk melakukan analisis heuristik. Jika peristiwa tidak cocok, analisis ini akan menandai hasilnya sebagai Berpotensi gagal.

Untuk menjalankan analisis dampak versi parser mendatang pada aturan deteksi Anda, lakukan hal berikut:

  1. Di Konsol SecOps Google, buka Settings > SIEM Settings > Parsers.
  2. Pilih Jenis log tertentu (parser bawaan).
  3. Pilih salah satu opsi update parser: Update ke versi terbaru, Rollback ke versi terakhir yang digunakan, atau Ikut serta dalam Release Candidate.
  4. Buka tab Dampak parser, lalu klik Periksa dampak pada aturan. Pemeriksaan dampak mungkin memerlukan waktu beberapa saat untuk diselesaikan.

  5. Setelah selesai, sistem akan menampilkan berikut ini:

    • Metadata parser dan daftar aturan yang terpengaruh oleh versi baru, yang menjelaskan jenis aturan dan kolom UDM yang menunjukkan perbedaan.

    • Sistem mengategorikan aturan yang terpengaruh secara negatif sebagai berikut:

      • Gagal: Parser baru tidak memunculkan deteksi, tetapi parser saat ini memunculkannya.
      • Berpotensi gagal: Aturan (termasuk multi-peristiwa) yang kolom UDM dalam logika aturannya telah berubah. Anda harus menyelidiki aturan ini lebih lanjut.

    Untuk setiap aturan tersebut, ikuti link ke editor aturan untuk menyelidiki dan mengedit aturan agar berfungsi dengan versi parser baru.

Mengelola versi parser bawaan

Google SecOps menyediakan dan memelihara parser bawaan untuk memastikan log Anda di-parsing dengan benar. Anda dapat mengontrol cara penerapan versi parser baru di lingkungan Anda untuk memenuhi kebutuhan organisasi.

Bagian ini menjelaskan siklus proses pengelolaan versi parser lengkap di Google SecOps. Hal ini mencakup ikut serta dan tidak ikut serta dalam update otomatis, membandingkan logika antar-versi, mengupdate ke versi baru secara manual, dan melakukan rollback ke versi sebelumnya.

Mengaktifkan dan menonaktifkan update otomatis parser

Jika Anda menonaktifkan update otomatis, parser akan tetap menggunakan versi saat ini hingga Anda mengaktifkan update otomatis atau mengupdatenya secara manual. Untuk menonaktifkan update otomatis, lakukan langkah berikut:

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Menu untuk parser bawaan yang diperlukan.

  3. Klik Nonaktifkan update otomatis.

Jika update otomatis diaktifkan, parser akan diupdate dengan setiap rilis stabil baru. Untuk mengaktifkan update otomatis, lakukan langkah berikut:

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Menu untuk parser bawaan yang diperlukan.

  3. Klik Aktifkan update otomatis.

Mengupdate versi parser secara manual

Jika update otomatis dinonaktifkan, Anda dapat memilih waktu untuk mengupdate parser ke versi baru. Dengan begitu, Anda dapat meninjau perubahan sebelum menerapkannya.

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Menu untuk parser yang diperlukan.

  3. Pilih Update ke versi terbaru.

    Halaman Bandingkan parser akan muncul. Anda dapat melihat hal berikut:

    • Perbedaan kode antara versi parser saat ini dan yang baru.

    • Tab Log perubahan, yang merangkum perubahan.

    • Output UDM untuk log mentah yang diambil sampelnya. Untuk menguji output terhadap log lain, klik Edit untuk mengedit log mentah yang diambil sampelnya.

    • Tanggal dan waktu kode parser terakhir diperbarui.

  4. Klik Update parser untuk mengupdatenya ke versi terbaru.

Melakukan roll back versi parser

Anda dapat mengembalikan parser ke versi yang terakhir Anda gunakan, terlepas dari status update otomatisnya. Untuk melakukan roll back versi parser, lakukan hal berikut:

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Menu untuk parser yang diperlukan.

  3. Pilih Roll back ke versi yang terakhir digunakan.

    Halaman Bandingkan parser akan muncul. Anda dapat melihat hal berikut:

    • Perbedaan kode antara versi parser saat ini dan versi parser yang terakhir digunakan.

    • Tab Log perubahan, yang menampilkan perubahan.

    • Output UDM untuk log mentah yang diambil sampelnya. Untuk menguji output terhadap log lain, klik Edit untuk mengedit log mentah yang diambil sampelnya.

    • Tanggal dan waktu kode parser terakhir diperbarui.

  4. Klik Lanjutkan untuk melakukan roll back untuk kembali ke versi yang terakhir digunakan.

Parser akan di-roll back ke versi terakhir yang Anda gunakan. Misalnya, jika Anda melakukan upgrade dari versi 17.0 ke 24.0, melakukan rollback akan mengembalikan Anda ke 17.0, bukan 23.0.

Anda hanya dapat melakukan satu rollback berturut-turut. Setelah Anda melakukan rollback, opsi Roll back tidak lagi tersedia.

Kebijakan dukungan untuk versi parser sebelumnya

Hanya versi stabil terbaru parser bawaan yang menerima perbaikan bug dan peningkatan. Jika Anda menonaktifkan update otomatis dan tetap menggunakan versi parser yang lebih lama, versi tersebut tidak akan menerima patch atau update. Jika Anda melaporkan masalah pada versi sebelumnya ini, rilis stabil berikutnya akan menyertakan perbaikan. Anda harus mengupgrade parser secara manual ke versi stabil terbaru untuk menerima perbaikan.

Parser kustom

Google SecOps memungkinkan Anda membuat parser kustom untuk kasus saat parser bawaan tidak tersedia atau saat Anda menginginkan kontrol yang lebih besar. Parser kustom muncul dalam daftar parser, bersama dengan parser bawaan.

Kasus penggunaan umum meliputi:

Membuat parser kustom berdasarkan petunjuk pemetaan

Anda dapat membuat parser kustom dengan menulis kode yang mengonversi log mentah asli menjadi rekaman UDM.

Bacaan tambahan:

Saat membuat parser, usahakan untuk mengisi sebanyak mungkin kolom UDM penting.

  1. Buka Setelan.

  2. Buka SIEM Settings.

  3. Klik Create Parser.

  4. Pilih sumber log yang sesuai dari daftar Sumber Log.

  5. Pilih Mulai dengan Log Raw Saja untuk membuat parser baru sesuai dengan kebutuhan Anda.

  6. Klik Create.

  7. Masukkan kode Anda di Parser Code Terminal. Untuk mengetahui informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.

  8. Opsional: Klik Edit untuk mengedit log mentah atau salinan yang ada.

  9. Opsional: Klik Muat untuk memuat log mentah terbaru.

  10. Klik Pratinjau untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.

    Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.

  11. Klik Validasi untuk memvalidasi parser kustom.

    Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, melakukan perubahan jika diperlukan, lalu memvalidasi parser kustom.

  12. Klik Kirim.

    Parser diaktifkan untuk proses normalisasi setelah 20 menit.

Membuat parser kustom berdasarkan parser yang ada

Gunakan parser yang ada sebagai template untuk membuat parser kustom baru. Metode ini hanya mendukung pendekatan berbasis kode. Untuk memulai, ikuti langkah-langkah berikut:

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Create Parser.

  3. Pilih sumber log yang sesuai dari daftar Sumber Log.

  4. Pilih Mulai dengan Parser Siap Pakai yang Ada untuk menggunakan parser yang ada sebagai dasar untuk membuat parser kustom baru.

  5. Klik Create.

  6. Edit kode Anda di Parser Code Terminal. Untuk mengetahui informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.

  7. Opsional: Klik Edit untuk mengedit log mentah.

  8. Opsional: Klik Muat ulang untuk memuat ulang log mentah.

  9. Saat Anda menambahkan kode untuk membuat parser, klik Pratinjau untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.

    Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.

  10. Klik Validasi untuk memvalidasi parser kustom.

    Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, melakukan perubahan jika diperlukan, lalu memvalidasi parser kustom.

  11. Klik Kirim.

    Parser diaktifkan untuk proses normalisasi setelah 20 menit.

Menonaktifkan parser kustom

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Menu pada parser yang ingin Anda nonaktifkan, lalu pilih Nonaktifkan dari daftar.

    Dialog Make parser inactive akan muncul.

  3. Klik Nonaktifkan.

Parser kustom dinonaktifkan dan versi parser bawaan saat ini diaktifkan setelah 20 menit. Parser bawaan kini menjadi parser default.

Menghapus parser kustom

  1. Dari Menu aplikasi , pilih Setelan > Parser.

  2. Klik Menu di samping parser kustom yang ingin Anda hapus, lalu pilih Hapus dari daftar. Catatan: Anda tidak dapat menghapus parser bawaan.

    Dialog Hapus parser kustom akan muncul.

  3. Klik Hapus.

Parser kustom dihapus dan versi parser bawaan saat ini diaktifkan setelah 20 menit.

Membuat ekstensi

Ekstensi parser memberikan cara yang fleksibel untuk memperluas kemampuan parser bawaan (default) dan parser kustom yang ada. Parser ini tidak menggantikan parser bawaan atau kustom. Sebagai gantinya, kolom ini memungkinkan ekstraksi tambahan kolom secara lancar dari log raw asli ke dalam data UDM. Ekstensi parser berbeda dengan parser kustom.

Untuk membuat ekstensi parser, lihat Menggunakan ekstensi parser.

Mengontrol akses ke pengelolaan parser

Secara default, pengguna dengan peran Administrator dan Editor dapat mengelola update parser. Izin baru dapat diberikan untuk mengontrol siapa yang dapat melihat dan mengelola pembaruan ini.

Untuk mengetahui informasi selengkapnya tentang cara mengelola pengguna dan grup, atau menetapkan peran, lihat panduan pengguna kontrol akses berbasis peran.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.