Gerenciar analisadores pré-criados

Com suporte em:

Este documento orienta sobre como gerenciar analisadores no Google Security Operations. Ele detalha como lidar com atualizações de analisadores pré-criados, criar extensões de analisadores e controlar o acesso ao gerenciamento de analisadores.

O que são analisadores?

No Google Security Operations, um analisador é um conjunto de instruções que transforma dados de registro brutos de várias fontes no formato do modelo de dados unificado (UDM, na sigla em inglês). A normalização de registros brutos no UDM é essencial porque permite que o Google SecOps analise, pesquise e correlacione eventos de segurança de maneira eficaz em todos os dados ingeridos, independentemente do formato de registro original. Para uma visão geral da análise de registros, consulte Visão geral da análise de registros.

Por que os analisadores são necessários?

Os analisadores são essenciais para tornar seus dados de segurança utilizáveis no Google SecOps. Sem a análise adequada, os registros brutos permanecem não estruturados e não podem ser pesquisados, correlacionados com outros eventos de segurança ou usados por regras de detecção. O processo de normalização enriquece os dados brutos, mapeando os campos principais em um esquema padronizado que alimenta os recursos analíticos do Google SecOps.

Quais analisadores aparecem na plataforma?

A página Analisadores na plataforma do Google SecOps mostra analisadores pré-criados apenas para os tipos de registro em que você já ingeriu dados. Se você ainda não ingeriu nenhum registro para um tipo específico, o analisador pré-criado correspondente não vai aparecer na plataforma.

Por exemplo, tipos de registro como UDM (ingeridos usando a API udmevents ou sem registros brutos) e determinados registros do Mandiant (ingeridos usando a API CreateEntities) não exigem ou têm analisadores associados, já que estão em um formato estruturado. Consequentemente, eles não serão listados na página Analisadores.

Para ver um analisador pré-criado na plataforma, verifique se você ingeriu dados para esse tipo de registro específico.

Este documento aborda os seguintes aspectos principais do gerenciamento de analisadores:

Tipos de analisadores

Entenda os tipos de analisadores e as funções deles:

Tipo de analisador Descrição
Pré-criado Analisadores criados pelo Google SecOps que incluem mapeamentos integrados para transformar dados de registro originais em campos UDM.
Pré-criado estendido Um analisador pré-criado criado por clientes com instruções de mapeamento adicionais para extrair mais dados de um registro bruto original e inseri-los no registro UDM.
Personalizado Um analisador que não é pré-criado e tem instruções de mapeamento de dados personalizadas para transformar dados de registro originais em campos UDM. Para mais informações, consulte Configurar analisadores personalizados.
Estendido personalizado Um analisador personalizado com instruções de mapeamento adicionais que usa uma extensão de analisador para extrair mais dados de um registro bruto original e inseri-los no registro UDM.

Gerenciar atualizações de analisadores pré-criados

O Google SecOps normalmente atualiza os analisadores pré-criados durante a quarta semana de cada mês. Essas atualizações são disponibilizadas primeiro para clientes com acesso antecipado e testes. À medida que as próximas atualizações do analisador ficam disponíveis, elas são marcadas como pendentes na lista de analisadores. Você pode examinar a diferença entre as versões mais antigas e mais recentes do analisador ou ativar a atualização do analisador mais cedo para testá-la ou pular a atualização e criar um analisador personalizado.

Para ver a atualização pendente, faça o seguinte:

  1. Faça login na instância do Google SecOps.

  2. Selecione Configurações > Configurações do SIEM > Analisadores.

  3. Clique em Filtrar.

  4. Selecione Pré-criado, Ativo e Pré-criado estendido na lista.

    Uma lista de analisadores pré-criados ativos (padrão) é exibida. As próximas atualizações do analisador são marcadas como pendentes na coluna Atualização.

  5. Clique em Menu e selecione Ver atualização pendente na lista.

    A página Comparar analisadores aparece. Nela, você pode conferir o seguinte:

    • A diferença de código entre a versão atual e a próxima do analisador

    • Analise o impacto da próxima versão do analisador nas suas regras de detecção

    • Os registros de mudanças na guia Registros de mudanças

    • O evento UDM gerado para o registro bruto amostrado

    • A data e a hora em que o analisador foi criado

    • A data e a hora em que o código do analisador foi atualizado pela última vez

    Você pode ativar a atualização do analisador mais cedo, pular a atualização e criar um analisador personalizado, ou aguardar a atualização automática durante a quarta semana do mês.

Ativar a atualização do analisador mais cedo

O recurso de gerenciamento de analisadores permite ativar a atualização do analisador mais cedo. Por exemplo, se você quiser testá-lo.

Para ativar a atualização do analisador mais cedo, siga estas etapas:

  1. Na página Comparar analisadores, clique em Ativar atualização do analisador.

    A caixa de diálogo Confirmar atualização do analisador aparece.

  2. Clique em Confirmar.

    O analisador é ativado para o processo de normalização após 20 minutos.

Pular atualizações de analisadores pré-criados

Para pular as atualizações de analisadores pré-criados atuais e futuras, crie um analisador personalizado da seguinte maneira:

  1. Na página Comparar analisadores, clique em Pular atualização.

    A janela Pular atualização e criar analisador personalizado aparece.

  2. Clique em Criar analisador personalizado.

  3. Em Tipo de analisador para começar, selecione o Analisador pré-criado atual ou a Atualização pendente do analisador.

  4. Clique em Criar.

    A versão selecionada é ativada para o processo de normalização após 20 minutos. Ela aparece como Personalizado e Ativo na lista de analisadores da página Analisadores. A versão pré-criada anterior aparece como Pré-criada e Inativa.

Reverter uma atualização antecipada do analisador pré-criado

Se você ativou a atualização do analisador mais cedo, ainda poderá reverter para a versão anterior até a quarta semana do mês, quando a atualização é ativada automaticamente.

Para voltar à versão anterior do analisador, siga estas etapas:

  1. No menu de aplicativos, selecione Configurações > Analisadores.

  2. Clique em Menu no analisador que você quer reverter.

  3. Clique em Visualizar.

    A página Visualizar analisador pré-criado aparece.

  4. Clique em Reverter para a versão anterior.

    A caixa de diálogo Reverter para a versão anterior aparece. Você pode clicar em Comparar analisadores na caixa de diálogo para conferir a diferença entre as versões atual e anterior.

  5. Clique em Confirmar para reverter o analisador para a versão anterior.

    O analisador é revertido para a versão anterior após 20 minutos.

Analisar o impacto da próxima versão do analisador

A verificação de impacto permite avaliar o impacto potencial da próxima versão do analisador nas suas regras de detecção antes de aplicar as mudanças. Para todas as regras afetadas negativamente, você pode seguir os links para investigar e atualizar suas regras de acordo.

Para regras de evento único, a análise verifica as detecções geradas pelas regras de detecção nos últimos 30 dias. Ela executa as versões atual e futura do analisador nos eventos correspondentes a essas detecções. Esse processo regenera as detecções para verificar se há incompatibilidades.

Para regras de vários eventos, a análise usa uma amostra dos seus eventos em vez de todos os eventos para realizar uma análise heurística. Se os eventos não corresponderem, essa análise marcará o resultado como Potencialmente com falha.

Para executar uma análise do impacto da próxima versão do analisador nas suas regras de detecção, faça o seguinte:

  1. No console do Google SecOps, acesse Configurações > Configurações do SIEM > Analisadores.
  2. Selecione um Tipo de registro específico (analisador pré-criado).
  3. Selecione uma das opções de atualização do analisador: Atualizar para a versão mais recente, Reverter para a versão usada por último ou Aceitar uma versão candidata.
  4. Acesse a guia Impacto do analisador e clique em Verificar impacto nas regras. A verificação de impacto pode levar algum tempo para ser concluída.

  5. Após a conclusão, o sistema mostra o seguinte:

    • Metadados do analisador e uma lista de regras afetadas pela nova versão, detalhando o tipo de regra e os campos UDM que mostram diferenças.

    • O sistema categoriza as regras afetadas negativamente da seguinte maneira:

      • Com falha: o novo analisador não gerou uma detecção, mas o analisador atual gerou.
      • Potencialmente com falha: regras (incluindo vários eventos) em que os campos UDM na lógica da regra foram alterados. Você precisa investigar essas regras.

    Para cada uma delas, siga o link para o editor de regras para investigar e editar a regra para que ela funcione com a nova versão do analisador.

Gerenciar versões de analisadores pré-criados

O Google SecOps fornece e mantém analisadores pré-criados para garantir que seus registros sejam analisados corretamente. Você pode controlar como as novas versões do analisador são aplicadas no seu ambiente para atender às necessidades da sua organização.

Esta seção descreve o ciclo de vida completo do gerenciamento de versões do analisador no Google SecOps. Isso inclui ativar e desativar atualizações automáticas, comparar a lógica entre versões, atualizar manualmente para novas versões e reverter para versões anteriores.

Ativar e desativar as atualizações automáticas do analisador

Se você desativar as atualizações automáticas, o analisador permanecerá na versão atual até que você ative as atualizações automáticas ou atualize manualmente. Para desativar as atualizações automáticas, siga estas etapas:

  1. No menu de aplicativos, selecione Configurações > Analisadores.

  2. Clique em Menu para o analisador pré-criado necessário.

  3. Clique em Desativar atualizações automáticas.

Quando as atualizações automáticas estão ativadas, o analisador é atualizado a cada novo lançamento estável. Para ativar as atualizações automáticas, siga estas etapas:

  1. No menu de aplicativos, selecione Configurações > Analisadores.

  2. Clique em Menu para o analisador pré-criado necessário.

  3. Clique em Ativar atualizações automáticas.

Atualizar uma versão do analisador manualmente

Se as atualizações automáticas estiverem desativadas, você poderá escolher quando atualizar um analisador para uma nova versão. Isso permite que você revise as mudanças antes de aplicá-las.

  1. No menu de aplicativos, selecione Configurações > Analisadores.

  2. Clique em Menu para o analisador necessário.

  3. Selecione Atualizar para a versão mais recente.

    A página Comparar analisadores aparece. É possível ver:

    • A diferença de código entre a versão atual e a nova do analisador.

    • A guia Registro de alterações, que resume as mudanças.

    • A saída UDM para o registro bruto amostrado. Para testar a saída em relação a um registro diferente, clique em Editar para editar o registro bruto amostrado.

    • A data e a hora em que o código do analisador foi atualizado pela última vez.

  4. Clique em Atualizar analisador para atualizar para a versão mais recente.

Reverter uma versão do analisador

Você pode reverter um analisador para a versão usada por último, independentemente do status de atualização automática. Para reverter uma versão do analisador, faça o seguinte:

  1. No menu de aplicativos, selecione Configurações > Analisadores.

  2. Clique em Menu para o analisador necessário.

  3. Selecione Reverter para a versão usada por último.

    A página Comparar analisadores aparece. É possível ver:

    • A diferença de código entre a versão atual e a versão usada por último do analisador.

    • A guia Registro de alterações, que mostra as mudanças.

    • A saída UDM para o registro bruto amostrado. Para testar a saída em relação a um registro diferente, clique em Editar para editar o registro bruto amostrado.

    • A data e a hora em que o código do analisador foi atualizado pela última vez.

  4. Clique em Continuar para reverter para voltar à versão usada por último.

O analisador é revertido para a última versão usada. Por exemplo, se você fez upgrade da versão 17.0 para a 24.0, a reversão vai retornar para a 17.0, não para a 23.0.

Só é possível realizar uma reversão consecutiva. Depois de realizar uma reversão, a opção Reverter não estará mais disponível.

Política de suporte para versões anteriores do analisador

Somente a versão estável mais recente de um analisador pré-criado recebe correções de bugs e melhorias. Se você desativar as atualizações automáticas e permanecer em uma versão anterior do analisador, essa versão não receberá patches ou atualizações. Se você informar problemas com essa versão anterior, a próxima versão estável incluirá a correção. Você precisa fazer upgrade manual do analisador para a versão estável mais recente para receber a correção.

Criar uma extensão

As extensões de analisadores oferecem uma maneira flexível de estender os recursos dos analisadores pré-criados (padrão) atuais. Elas não substituem os analisadores pré-criados. Em vez disso, elas permitem a extração perfeita de campos adicionais do registro bruto original para o registro UDM. Uma extensão de analisador é diferente de um analisador personalizado.

Para criar uma extensão de analisador, consulte Usar extensões de analisadores.

Controlar o acesso ao gerenciamento de analisadores

Por padrão, os usuários com as funções Administrador e Editor podem gerenciar atualizações de analisadores. Novas permissões podem ser concedidas para controlar quem pode visualizar e gerenciar essas atualizações.

Para mais informações sobre como gerenciar usuários e grupos ou atribuir funções, consulte o guia do usuário de controle de acesso baseado em papéis.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.