管理预构建的解析器

支持的平台:

本文档提供了有关如何在 Google Security Operations 中管理解析器的指南。本文详细介绍了如何处理预构建解析器的更新、创建解析器扩展程序,以及控制对解析器管理的访问权限。

什么是解析器?

在 Google Security Operations 中,解析器是一组指令,用于将来自各种来源的原始日志数据转换为统一数据模型 (UDM) 格式。将原始日志标准化为 UDM 至关重要,因为这样一来,Google SecOps 就可以跨所有注入的数据有效分析、搜索和关联安全事件,而无需考虑原始日志格式。如需大致了解日志解析,请参阅日志解析概览

为什么需要解析器?

解析器对于在 Google SecOps 中使用安全数据至关重要。如果没有适当的解析,原始日志将保持非结构化状态,无法进行有效搜索、与其他安全事件相关联,也无法被检测规则使用。归一化过程会丰富原始数据,将关键字段映射到标准化架构,从而为 Google SecOps 的分析功能提供支持。

平台中显示哪些解析器?

Google SecOps 平台中的解析器页面仅显示您已注入数据的日志类型的预构建解析器。如果您尚未针对特定日志类型提取任何日志,则相应预构建的解析器不会显示在平台上。

例如,UDM(使用 udmevents API 或不使用原始日志提取)等日志类型以及某些 Mandiant 日志(使用 CreateEntities API 提取)不需要或没有关联的解析器,因为它们已采用结构化格式。因此,这些解析器不会列在解析器页面上。

如需查看平台中的预建解析器,请确保您已成功提取相应特定日志类型的数据。

本文档介绍了以下解析器管理方面的主要内容:

解析器类型

了解解析器类型及其功能:

解析器类型 说明
预构建 由 Google SecOps 创建的解析器,包含用于将原始日志数据转换为 UDM 字段的内置映射。
经过扩展的预构建版 客户创建的预构建解析器,其中包含额外的映射说明,用于从原始原始日志中提取额外数据并将其插入 UDM 记录中。
自定义 一种非预构建的解析器,具有自定义数据映射指令,可将原始日志数据转换为 UDM 字段。如需了解详情,请参阅配置自定义解析器
经过扩展的自定义版 一种自定义解析器,包含额外的映射指令,可使用解析器扩展功能从原始日志中提取额外数据并将其插入 UDM 记录中。

管理预构建的解析器更新

Google SecOps 通常会在每个月的第四周更新其预构建解析器。这些更新会先提供给客户进行抢先体验和测试。当即将推出的解析器更新可用时,它们会在解析器列表中标记为待处理的更新。您可以检查较早版本和较新版本解析器之间的差异,也可以提前激活解析器更新以进行测试,还可以跳过更新并创建自定义解析器

如需查看待处理的更新,请执行以下操作:

  1. 登录您的 Google SecOps 实例。

  2. 依次选择设置 > SIEM 设置 > 解析器

  3. 点击 过滤

  4. 从列表中选择预建有效预建扩展

    系统会显示有效(默认)的预建解析器列表。即将进行的解析器更新会在更新列中标记为待处理

  5. 点击 菜单,然后从列表中选择查看待处理的更新

    系统会显示比较解析器页面。您可以在此处查看以下内容:

    • 当前解析器版本与即将推出的解析器版本之间的代码差异

    • 分析即将推出的解析器版本对检测规则的影响

    • 更改日志标签页中的更改日志

    • 抽样的原始日志所生成的 UDM 事件

    • 解析器的创建日期和时间

    • 解析器代码上次更新的日期和时间

    您可以提前激活解析器更新,跳过更新并创建自定义解析器,也可以等待在当月第四周自动应用更新。

尽早激活解析器更新

借助解析器管理功能,您可以提前激活解析器更新。例如,如果您想测试它。

如需提前激活解析器更新,请按以下步骤操作:

  1. 比较解析器页面上,点击使解析器更新生效

    系统会显示确认解析器更新对话框。

  2. 点击确认

    解析器会在 20 分钟后激活,以进行规范化处理。

跳过预构建解析器更新

如需跳过当前和未来的预构建解析器更新,请按如下方式创建自定义解析器:

  1. 比较解析器页面上,点击跳过更新

    系统随即会显示跳过更新并创建自定义解析器窗口。

  2. 点击创建自定义解析器

  3. 对于要使用的初始解析器类型,请选择当前的预构建解析器待处理的解析器更新

  4. 点击创建

    所选版本会在 20 分钟后激活,以用于归一化流程。在解析器页面上的解析器列表中,它会显示为自定义有效。之前的预构建版本会显示为预构建已停用

还原预构建解析器的早期更新

如果您提前激活了解析器更新,则仍可在当月第四周(更新自动激活)之前还原到之前的版本。

如需切换回之前的解析器版本,请按以下步骤操作:

  1. Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。

  2. 点击要恢复的解析器对应的 菜单

  3. 点击查看

    系统随即会显示查看预构建的解析器页面。

  4. 点击还原至上一个版本

    系统会显示还原为上一个对话框。您可以点击对话框中的比较解析器,查看当前版本与之前版本之间的差异。

  5. 点击确认,将解析器恢复到之前的版本。

    解析器会在 20 分钟后恢复到之前的版本。

分析即将推出的解析器版本的影响

借助影响检查,您可以在应用更改之前评估即将推出的解析器版本对检测规则的潜在影响。对于受到负面影响的任何规则,您可以点击相应链接进行调查,并相应地更新规则。

对于单事件规则,分析会检查检测规则在过去 30 天内生成的检测结果。它会针对与这些检测结果相对应的事件运行当前和即将推出的解析器版本。此流程会重新生成检测结果,以检查是否存在不一致的情况。

对于多事件规则,分析会使用部分事件(而非所有事件)进行启发式分析。如果事件不匹配,此分析会将结果标记为可能失败

如需分析即将推出的解析器版本对检测规则的影响,请执行以下操作:

  1. 在 Google SecOps 控制台中,依次前往设置 > SIEM 设置 > 解析器
  2. 选择特定的日志类型(预建的解析器)。
  3. 选择一个解析器更新选项:更新到最新版本回滚到上次使用的版本选择加入候选版本计划
  4. 前往解析器影响标签页,然后点击检查对规则的影响。影响检查可能需要一些时间才能完成。

  5. 完成后,系统会显示以下内容:

    • 解析器元数据以及新版本会影响的规则列表,其中详细说明了规则类型和显示差异的 UDM 字段。

    • 系统会按如下方式对受到负面影响的规则进行分类:

      • 失败:新解析器未触发检测,但当前解析器触发了检测。
      • 可能失败:规则逻辑中的 UDM 字段已更改的规则(包括多事件规则)。您必须进一步调查这些规则。

    对于每条规则,请点击指向规则编辑器的链接,调查并修改规则,使其能够与新的解析器版本搭配使用。

管理预构建的解析器版本

Google SecOps 提供并维护预构建的解析器,以确保您的日志得到正确解析。您可以控制如何在环境中应用新的解析器版本,以满足组织的需求。

本部分介绍了 Google SecOps 中的完整解析器版本管理生命周期。这包括选择启用和停用自动更新、比较不同版本之间的逻辑、手动更新到新版本以及回滚到以前的版本。

选择启用和停用解析器自动更新

如果您关闭自动更新功能,解析器将保持当前版本,直到您开启自动更新功能或手动更新解析器为止。如需关闭自动更新,请执行以下操作:

  1. Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。

  2. 点击所需预建解析器的 Menu

  3. 点击关闭自动更新

启用自动更新后,解析器会随每个新的稳定版本进行更新。如需启用自动更新,请执行以下操作:

  1. Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。

  2. 点击所需预建解析器的 Menu

  3. 点击开启自动更新

手动更新解析器版本

如果自动更新处于关闭状态,您可以选择何时将解析器更新到新版本。这样一来,您就可以在应用更改之前先查看更改。

  1. Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。

  2. 点击所需解析器的 Menu

  3. 选择更新到最新版本

    系统会显示比较解析器页面。您可以查看以下信息:

    • 当前解析器版本与新解析器版本之间的代码差异。

    • 更新日志标签页,其中汇总了更改。

    • 抽样原始日志的 UDM 输出。如需针对其他日志测试输出,请点击 Edit 以修改抽样的原始日志。

    • 解析器代码上次更新的日期和时间。

  4. 点击更新解析器,将其更新为最新版本。

回滚解析器版本

无论解析器的自动更新状态如何,您都可以将解析器还原为上次使用的版本。如需回滚解析器版本,请执行以下操作:

  1. Application menu(应用菜单)中,依次选择 Settings(设置)> Parsers(解析器)。

  2. 点击所需解析器的 Menu

  3. 选择回滚到上次使用的版本

    系统会显示比较解析器页面。您可以查看以下信息:

    • 当前使用的解析器版本与上次使用的解析器版本之间的代码差异。

    • 显示更改的更新日志标签页。

    • 抽样原始日志的 UDM 输出。如需针对其他日志测试输出,请点击 Edit 以修改抽样的原始日志。

    • 解析器代码上次更新的日期和时间。

  4. 点击继续回滚以恢复到上次使用的版本。

解析器会回滚到您上次使用的版本。例如,如果您从版本 17.0 升级到 24.0,回滚操作会将您恢复到 17.0,而不是 23.0。

您只能连续执行一次回滚。执行回滚后,回滚选项将不再可用。

针对之前解析器版本的支持政策

只有预构建解析器的最新稳定版本会接收 bug 修复和增强功能。如果您停用自动更新功能,并继续使用旧版解析器,则该版本不会收到补丁或更新。如果您报告此早期版本存在问题,下一个稳定版本将包含相应修复。您必须手动将解析器升级到最新的稳定版本才能获得相应修复。

创建扩展程序

解析器扩展程序提供了一种灵活的方式来扩展现有预建(默认)解析器的功能。它们不会取代预构建的解析器。相反,它们可实现从原始日志到 UDM 记录的无缝额外字段提取。解析器扩展程序与自定义解析器不同。

如需创建解析器扩展程序,请参阅使用解析器扩展程序

控制对解析器管理的访问权限

默认情况下,拥有管理员编辑者角色的用户可以管理解析器更新。您可以授予新权限,以控制哪些人可以查看和管理这些更新。

如需详细了解如何管理用户和群组或分配角色,请参阅基于角色的访问权限控制用户指南

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。