管理预构建和自定义解析器
本文档提供了有关如何在 Google Security Operations 中管理解析器的指南。其中详细介绍了如何处理预构建和自定义解析器的更新、创建解析器扩展程序,以及控制对解析器管理功能的访问权限:
解析器类型
了解解析器类型及其功能:
| 解析器类型 | 说明 |
|---|---|
| 预构建 | 由 Google SecOps 创建的解析器,其中包含内置映射,可将原始日志数据转换为 UDM 字段。 |
| 经过扩展的预构建版 | 由客户创建的预构建解析器,其中包含额外的映射说明,可从原始日志中提取额外 数据并将其插入 UDM 记录。 |
| 自定义 | 非预构建解析器,其中包含自定义数据映射说明,可将 原始日志数据转换为 UDM 字段。 |
| 经过扩展的自定义版 | 自定义解析器,其中包含额外的映射说明,可使用解析器扩展程序从原始日志中提取额外 数据并将其插入 UDM 记录。 |
解析器支持级别
Google SecOps 提供以下解析器支持级别:
| 解析器类型 | 说明和支持 |
|---|---|
| 高级解析器 | Google SecOps 提供来自最常用、高容量数据源的高质量解析器。客户对高级解析器的请求通常会在几天内处理完毕。 |
| 标准解析器 | 对于其他受支持的数据源,Google SecOps 会尽力提供支持。对新字段映射的请求将作为功能请求处理,并纳入产品积压工作。如需满足即时需求,您可以使用自助式解析器扩展程序和自动提取功能。 |
| 自定义解析器和扩展程序 | Google SecOps 不提供对此类解析器的支持。我们建议您自行管理此类解析器,或在 Google 合作伙伴的帮助下进行管理。 |
如需查看高级解析器和标准解析器的完整列表, 请参阅默认解析器配置。
如需大致了解如何将原始日志解析为统一数据模型 (UDM) 格式,请参阅 日志解析概览。
管理预构建解析器更新
Google SecOps 通常会在每个月的第四周更新其预构建解析器。这些更新会先提供给客户,以便他们抢先体验和测试。当即将推出的解析器更新可用时,它们会在解析器列表中标记为待处理 更新。您可以查看早期解析器版本与新解析器版本之间的差异,也可以提前激活解析器更新以进行测试,或者跳过更新并创建自定义解析器。
如需查看待处理的更新,请执行以下操作:
登录您的 Google SecOps 实例。
依次选择设置 > SIEM 设置 > 解析器 。
点击 过滤条件。
从列表中选择预构建、活跃和经过扩展的预构建版。
系统会显示活跃(默认)预构建解析器列表。即将推出的解析器更新会在更新 列中标记为待处理 。
点击 菜单 ,然后从列表中选择 查看待处理的更新 。
系统会显示比较解析器 页面。您可以在此页面中查看以下内容:
当前解析器版本与即将推出的解析器版本之间的代码差异
更改日志 标签页中的更改日志
为抽样的原始日志生成的 UDM 事件
解析器的创建日期和时间
解析器代码的上次更新日期和时间
您可以提前激活解析器更新,也可以跳过更新并创建自定义解析器,或者等待在当月的第四周自动应用更新。
提前激活解析器更新
借助解析器管理功能,您可以提前激活解析器更新。例如,如果您想对其进行测试。
如需提前激活解析器更新,请按以下步骤操作:
在比较解析器 页面上,点击激活解析器更新 。
系统会显示确认解析器更新 对话框。
点击确认 。
解析器会在 20 分钟后激活,以进行规范化处理。
跳过预构建解析器更新
如需跳过当前和未来的预构建解析器更新,请按如下方式创建自定义解析器:
在比较解析器 页面上,点击跳过更新 。
系统会显示跳过更新并创建自定义解析器 窗口。
点击创建自定义解析器 。
对于要使用的解析器类型 ,请选择当前的 预构建解析器 或待处理的解析器更新 。
点击创建 。
所选版本会在 20 分钟后激活,以进行规范化处理。它会在解析器 页面上的解析器列表中显示为自定义 和活跃 。之前的预构建版本会显示为预构建 和无效 。
恢复预构建解析器的提前更新
如果您提前激活了解析器更新,则仍可以在当月的第四周(更新自动激活时)之前恢复到之前的版本。
如需切换回之前的解析器版本,请按以下步骤操作:
在 Application menu 中,依次选择 Settings > Parsers。
点击要恢复的解析器对应的 菜单。
点击查看 。
系统会显示查看预构建解析器 页面。
点击恢复到先前版本 。
系统会显示恢复到先前版本 对话框。您可以点击对话框中的比较解析器 ,查看当前版本与先前版本之间的差异。
点击确认 ,将解析器恢复到先前版本。
解析器会在 20 分钟后恢复到先前版本。
分析即将推出的解析器版本的影响
借助影响检查 ,您可以在应用更改之前评估即将推出的解析器版本对检测规则的潜在影响。对于任何受到负面影响的规则,您可以点击链接进行调查,并相应地更新规则。
对于单事件规则,分析会检查检测规则在过去 30 天内生成的检测。它会在与这些检测对应的事件上运行当前解析器版本和即将推出的解析器版本。此过程会重新生成检测,以检查是否存在不匹配的情况。
对于多事件规则,分析会使用事件样本(而非所有事件)来执行启发式分析。如果事件不匹配,此分析会将结果标记为可能失败 。
如需分析即将推出的解析器版本对检测规则的影响,请执行以下操作:
- 在 Google SecOps 控制台中,依次前往设置 > SIEM 设置 > 解析器 。
- 选择特定的日志类型 (预构建解析器)。
- 选择一个解析器更新选项:更新到最新版本、回滚到上次使用的版本或选择加入候选版本。
- 前往解析器的影响 标签页,然后点击检查对规则的影响 。影响检查可能需要一些时间才能完成。
完成后,系统会显示以下内容:
- 解析器元数据以及受新版本影响的规则列表,其中详细说明了规则类型和显示差异的 UDM 字段。
系统会将任何受到负面影响的规则归类如下:
- 失败:新解析器未引发检测,但当前解析器引发了检测。
- 可能失败:规则(包括多事件规则),其中规则逻辑中的 UDM 字段已更改。您必须进一步调查这些规则。
对于上述每种情况,请点击链接前往规则编辑器,调查并修改规则,使其能够与新解析器版本搭配使用。
管理预构建解析器版本
Google SecOps 提供并维护预构建解析器,以确保正确解析日志。您可以控制如何在环境中应用新解析器版本,以满足组织的需求。
本部分介绍了 Google SecOps 中的完整解析器版本管理生命周期。这包括选择启用和停用自动更新、比较版本之间的逻辑、手动更新到新版本,以及回滚到先前版本。
选择启用或停用自动解析器更新
如果您停用自动更新,解析器将保留在当前版本,直到您启用自动更新或手动更新解析器。如需停用自动更新,请执行以下操作:
在 Application menu 中, 依次选择 Settings > Parsers。
点击所需 预构建解析器对应的 菜单 。
点击停用自动更新 。
启用自动更新后,解析器会在每个新的稳定版本发布时更新。如需启用自动更新,请执行以下操作:
在 Application menu 中, 依次选择 Settings > Parsers。
点击所需 预构建解析器对应的 菜单 。
点击启用自动更新 。
手动更新解析器版本
如果自动更新处于关闭状态,您可以选择何时将解析器更新到新版本。这样,您就可以在应用更改之前查看这些更改。
在 Application menu 中, 依次选择 Settings > Parsers。
点击所需 解析器对应的 菜单 。
选择更新到最新版本 。
系统会显示比较解析器 页面。您可以查看以下内容:
当前解析器版本与新解析器版本之间的代码差异。
更新日志 标签页,其中汇总了更改。
抽样的原始日志的 UDM 输出。如需针对其他日志测试输出,请点击 修改 以修改抽样的原始日志。
解析器代码的上次更新日期和时间。
点击更新解析器 ,将其更新到最新版本。
回滚解析器版本
您可以将解析器恢复到上次使用的版本,无论其自动更新状态如何。如需回滚解析器版本,请执行以下操作:
在 Application menu 中, 依次选择 Settings > Parsers。
点击所需 解析器对应的 菜单 。
选择回滚到上次使用的版本 。
系统会显示比较解析器 页面。您可以查看以下内容:
当前解析器版本与上次使用的解析器版本之间的代码差异。
更新日志 标签页,其中显示了更改。
抽样的原始日志的 UDM 输出。如需针对其他日志测试输出,请点击 修改 以修改抽样的原始日志。
解析器代码的上次更新日期和时间。
点击继续回滚 ,恢复到上次使用的版本。
解析器会回滚到您上次使用的版本。例如,如果您从版本 17.0 升级到 24.0,回滚后会恢复到 17.0,而不是 23.0。
您只能执行一次连续回滚。执行回滚后,回滚 选项将不再可用。
针对先前解析器版本的支持政策
只有预构建解析器的最新稳定版本才会收到 bug 修复和增强功能。如果您停用自动更新并保留在较早的解析器版本上,该版本将不会收到补丁程序或更新。如果您报告此较早版本的问题,下一个稳定版本将包含修复程序。您必须手动将解析器升级到最新的稳定版本才能收到修复程序。
自定义解析器
Google SecOps 允许您在没有预构建解析器或需要更多控制权的情况下创建自定义解析器。自定义解析器会与预构建解析器一起显示在解析器列表中。
常见用例包括:
注入没有预构建解析器的日志类型的日志数据。
请采用以下方法之一:
创建自定义解析器,以便跳过预构建解析器更新。
根据映射说明创建自定义解析器
您可以编写代码将原始日志转换为 UDM 记录,从而创建自定义解析器。
附加阅读材料:
创建解析器时,请尽可能填充重要的 UDM 字段。
前往设置 。
前往 SIEM 设置 。
点击创建解析器 。
从日志源 列表中选择合适的日志源。
选择仅从原始日志开始 ,根据您的要求创建新解析器。
点击创建 。
在解析器代码终端 中输入您的代码。如需了解详情,请参阅 创建代码段映射说明。
可选:点击 修改 以修改现有原始日志或副本。
可选:点击 加载 以加载最新的原始日志。
点击预览 以查看 UDM 输出。如果代码不正确,系统会显示错误消息。
在预览中,您可以使用 statedump 过滤条件插件来验证解析器的内部状态。如需了解详情,请参阅 使用 statedump 插件验证数据。
点击验证 以验证自定义解析器。
验证过程可能需要几分钟时间,因此我们建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。
点击提交 。
解析器会在 20 分钟后激活,以进行规范化处理。
根据现有解析器创建自定义解析器
使用现有解析器作为模板来创建新的自定义解析器。此方法仅支持基于代码的方法。如需开始使用,请按以下步骤操作:
在 Application menu 中,依次选择 Settings > Parsers。
点击创建解析器 。
从日志源 列表中选择合适的日志源。
选择从现有预构建解析器开始 ,使用现有解析器作为基础来创建新的自定义解析器。
点击创建 。
在解析器代码终端 中修改代码。如需了解详情,请参阅 创建代码段映射说明。
可选:点击 修改 以修改原始日志。
可选:点击 刷新 以刷新原始日志。
在添加代码以构建解析器时,点击预览 以查看 UDM 输出。如果代码不正确,系统会显示错误消息。
在预览中,您可以使用 statedump 过滤条件插件来验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证 以验证自定义解析器。
验证过程可能需要几分钟时间,因此我们建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。
点击提交 。
解析器会在 20 分钟后激活,以进行规范化处理。
将自定义解析器设为无效
在 Application menu 中,依次选择 Settings > Parsers。
点击要设为无效的解析器对应的 菜单 ,然后从列表中选择设为无效 。
系统会显示将解析器设为无效 对话框。
点击设为无效 。
自定义解析器会在 20 分钟后停用,当前预构建解析器版本会激活。预构建解析器现在将成为默认解析器。
删除自定义解析器
在 Application menu 中,依次选择 Settings > Parsers。
点击要删除的 自定义解析器对应的 菜单 ,然后从列表中选择删除 。 注意:您无法删除预构建解析器。
系统会显示删除自定义解析器 对话框。
点击删除 。
自定义解析器会在 20 分钟后删除,当前预构建解析器版本会激活。
创建扩展程序
借助解析器扩展程序,您可以灵活地扩展现有预构建(默认)解析器和自定义解析器的功能。它们不会取代预构建或自定义解析器。相反,它们可以从原始日志中无缝提取其他字段到 UDM 记录中。解析器扩展程序与自定义解析器不同。
如需创建解析器扩展程序,请参阅使用解析器扩展程序。
控制对解析器管理的访问权限
默认情况下,具有管理员 和编辑者 角色的用户可以管理解析器更新。您可以授予新权限,以控制哪些人可以查看和管理这些更新。
如需详细了解如何管理用户和群组或 分配角色,请参阅 基于角色的访问权限控制用户指南。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。