Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

管理預建剖析器

支援的國家/地區：

Google SecOps SIEM

這份文件提供指引，說明如何在 Google Security Operations 中管理剖析器。詳細說明如何處理預先建構的剖析器更新、建立剖析器擴充功能，以及控管剖析器管理存取權。

什麼是剖析器？

在 Google Security Operations 中，剖析器是一組指令，可將各種來源的原始記錄資料轉換為 Unified Data Model (UDM) 格式。將原始記錄正規化為 UDM 至關重要，因為這樣一來，無論原始記錄格式為何，Google SecOps 都能有效分析、搜尋及關聯所有擷取的資料，找出安全事件。如需記錄剖析的概要總覽，請參閱「記錄剖析總覽」。

為什麼需要剖析器？

剖析器對於在 Google SecOps 中使用安全防護資料至關重要。如果未正確剖析，原始記錄仍會是非結構化資料，無法有效搜尋、與其他安全性事件建立關聯，或供偵測規則使用。標準化程序會擴充原始資料，將重要欄位對應至標準化結構定義，進而提升 Google SecOps 的分析能力。

平台會顯示哪些剖析器？

Google SecOps 平台中的「剖析器」頁面只會顯示預建剖析器，適用於您已擷取資料的記錄類型。如果尚未擷取特定記錄類型的任何記錄，平台就不會顯示對應的預建剖析器。

舉例來說，UDM (使用 udmevents API 擷取或不含原始記錄) 等記錄類型，以及某些 Mandiant 記錄 (使用 CreateEntities API 擷取) 已採用結構化格式，因此不需要或沒有相關聯的剖析器。因此，這些剖析器不會列在「剖析器」頁面上。

如要在平台中查看預先建構的剖析器，請確認您已成功擷取該特定記錄類型的資料。

本文涵蓋剖析器管理作業的下列重要層面：

管理預先建構的剖析器更新
管理預建剖析器版本
建立擴充功能
控管剖析器管理存取權

剖析器類型

瞭解剖析器類型及其功能：

剖析器類型	說明
預建項目	Google SecOps 建立的剖析器，內含可將原始記錄資料轉換為 UDM 欄位的對應。
已擴充的預建項目	客戶建立的預建剖析器，含有額外的對應指示，可從原始記錄中擷取額外資料，並插入 UDM 記錄。
自訂	這類剖析器並非預建，而是具有自訂資料對應指示，可將原始記錄資料轉換為 UDM 欄位。詳情請參閱「設定自訂剖析器」。
已擴充的自訂項目	自訂剖析器含有額外的對應指示，可使用剖析器擴充功能從原始記錄中擷取額外資料，並插入 UDM 記錄。

管理預建剖析器更新

Google SecOps 通常會在每個月的第四週更新預建剖析器。這些更新會先開放客戶搶先體驗及測試，即將推出的剖析器更新會標示為「待處理」。您可以查看新舊剖析器版本之間的差異，或提早啟用剖析器更新進行測試，也可以略過更新並建立自訂剖析器。

如要查看待處理的更新，請按照下列步驟操作：

登入 Google SecOps 執行個體。
依序選取「設定」>「SIEM 設定」>「剖析器」。
按一下「篩選器」。
從清單中選取「預建」、「有效」和「預建擴展」。

系統會顯示預先建構的剖析器清單 (預設為有效)。即將推出的剖析器更新會在「更新」欄中標示為「待處理」。
按一下「選單」圖示，然後從清單中選取「查看待處理的更新」。

系統隨即會顯示「比較剖析器」頁面。您可以在這裡查看下列資訊：
- 目前和即將推出的剖析器版本之間的程式碼差異
- 分析即將推出的剖析器版本對偵測規則的影響
- 「變更記錄」分頁中的變更記錄
- 為取樣原始記錄產生的 UDM 事件
  
  附註： 顯示的發現內容是隨機產生，可能不會顯示所有已變更的欄位。如要變更記錄範例，請按一下「編輯」並輸入自己的範例。然後按一下「重新整理」來更新。
- 剖析器的建立日期和時間
- 剖析器程式碼上次更新的日期和時間
您可以提早啟用剖析器更新、略過更新並建立自訂剖析器，或是等待系統在當月第四週自動套用更新。

提早啟用剖析器更新

剖析器管理功能可讓您提早啟用剖析器更新。舉例來說，如果您想測試這項功能。

如要提早啟用剖析器更新，請按照下列步驟操作：

在「比較剖析器」頁面中，按一下「啟用剖析器更新」。

系統會顯示「確認剖析器更新」對話方塊。
按一下「確認」。

剖析器會在 20 分鐘後啟用，進行正規化程序。

注意： 這個剖析器版本會在下一個發布週期前維持有效。

略過預建剖析器更新

如要略過目前和日後的預建剖析器更新，請按照下列步驟建立自訂剖析器：

在「比較剖析器」頁面中，按一下「略過更新」。

系統會顯示「略過更新並建立自訂剖析器」視窗。
按一下「建立自訂剖析器」。
在「Type of parser to start with」(要使用的剖析器類型) 部分，選取目前的預建剖析器，或「Pending Parser Update」(待處理的剖析器更新)。
點選「建立」。

注意： 如果這個記錄來源已有自訂剖析器，您就無法再建立其他剖析器。系統會顯示以下訊息：「這個記錄來源已有自訂剖析器」
選取的版本會在 20 分鐘後啟用，以進行標準化程序。在「剖析器」頁面的剖析器清單中，會顯示為「自訂」和「有效」。先前的預建版本會顯示為「預建」和「已停用」。

注意： 日後所有預建剖析器更新仍會顯示，但除非您停用自訂剖析器並還原為預建版本，否則不會套用更新。

還原預建剖析器的早期更新

如果您提早啟用剖析器更新，在該月第四週更新自動啟用前，您仍可還原至先前的版本。

如要切換回舊版剖析器，請按照下列步驟操作：

在「應用程式」選單中，依序選取「設定」 >「剖析器」。
針對要還原的剖析器，按一下「選單」。
點選「查看」。

系統隨即會顯示「View prebuilt parser」(查看預先建構的剖析器) 頁面。
按一下「還原至上一個版本」。

系統會顯示「還原為先前的版本」對話方塊。您可以按一下對話方塊中的「比較剖析器」，查看目前版本與先前版本的差異。
按一下「確認」，將剖析器還原至先前的版本。

剖析器會在 20 分鐘後還原為先前的版本。

分析即將推出的剖析器版本帶來的影響

影響檢查功能可讓您在套用變更前，評估即將推出的剖析器版本對偵測規則的潛在影響。如果任何規則受到負面影響，您可以點選連結進行調查，並視需要更新規則。

如果是單一事件規則，分析會檢查偵測規則在過去 30 天內產生的偵測結果。系統會針對這些偵測項目對應的事件，執行目前和即將推出的剖析器版本。這個程序會重新生成偵測結果，檢查是否有不符之處。

如果是多事件規則，分析會使用事件樣本 (而非所有事件) 執行啟發式分析。如果事件不相符，這項分析會將結果標示為「可能失敗」。

如要分析即將推出的剖析器版本對偵測規則的影響，請按照下列步驟操作：

在 Google SecOps Console 中，依序前往「設定」 >「SIEM 設定」 >「剖析器」。
選取特定記錄類型 (預先建構的剖析器)。
選取其中一個剖析器更新選項：「更新至最新版本」、「復原至上次使用的版本」或「選用候選版本」。
前往剖析器「影響」分頁，然後按一下「檢查對規則的影響」。影響檢查可能需要一段時間才能完成。
完成後，系統會顯示下列內容：
- 剖析器中繼資料，以及新版本影響的規則清單，詳細說明規則類型和顯示差異的 UDM 欄位。
- 系統會將受到負面影響的規則歸類如下：
  - 失敗：新剖析器未產生偵測作業，但當前剖析器產生了。
  - 可能失敗：規則 (包括多事件規則) 中，規則邏輯的 UDM 欄位已變更。您必須進一步調查這些規則。
請針對每項規則點選規則編輯器的連結，調查並編輯規則，讓規則能搭配新版剖析器運作。

管理預建剖析器版本

Google SecOps 提供並維護預建剖析器，確保記錄正確剖析。您可以控管如何在環境中套用新版剖析器，以滿足貴機構的需求。

本節說明 Google SecOps 中的完整剖析器版本管理生命週期。包括啟用及停用自動更新、比較不同版本之間的邏輯、手動更新至新版本，以及還原至舊版本。

啟用及停用剖析器自動更新

如果關閉自動更新功能，剖析器會維持目前版本，直到您開啟自動更新功能或手動更新為止。如要關閉自動更新功能，請按照下列步驟操作：

在「應用程式」選單中，依序選取「設定」 >「剖析器」。
按一下所需預先建構剖析器的「選單」。
按一下「關閉自動更新」。

啟用自動更新後，剖析器會在每次推出新的穩定版本時更新。如要開啟自動更新功能，請按照下列步驟操作：

在「應用程式」選單中，依序選取「設定」 >「剖析器」。
按一下所需預先建構剖析器的「選單」。
按一下「開啟自動更新」。

手動更新剖析器版本

如果關閉自動更新功能，您可以選擇何時將剖析器更新至新版本。方便您在套用變更前先檢查。

在「應用程式」選單中，依序選取「設定」 >「剖析器」。
按一下所需剖析器的「選單」。
選取「更新至最新版本」。

系統隨即會顯示「比較剖析器」頁面。你可以查看下列資訊：
- 目前和新版剖析器之間的程式碼差異。
- 「變更記錄」分頁，其中會列出變更摘要。
- 取樣原始記錄的 UDM 輸出內容。如要根據其他記錄測試輸出內容，請按一下「編輯」，編輯取樣的原始記錄。
- 剖析器程式碼上次更新的日期和時間。
按一下「更新剖析器」，即可更新至最新版本。

復原剖析器版本

無論剖析器的自動更新狀態為何，您都可以將剖析器還原為上次使用的版本。如要復原剖析器版本，請按照下列步驟操作：

在「應用程式」選單中，依序選取「設定」 >「剖析器」。
按一下所需剖析器的「選單」。
選取「復原至上次使用的版本」。

系統隨即會顯示「比較剖析器」頁面。你可以查看下列資訊：
- 目前和上次使用的剖析器版本之間的程式碼差異。
- 「變更記錄」分頁，顯示變更內容。
- 取樣原始記錄的 UDM 輸出內容。如要根據其他記錄測試輸出內容，請按一下「編輯」，編輯取樣的原始記錄。
- 剖析器程式碼上次更新的日期和時間。
按一下「繼續復原」，即可還原為上次使用的版本。

剖析器會還原為上次使用的版本。舉例來說，如果您從 17.0 版升級至 24.0 版，回溯後會回到 17.0 版，而不是 23.0 版。

您只能連續執行一次回溯作業。執行復原作業後，復原選項將不再顯示。

舊版剖析器版本的支援政策

只有預先建構的剖析器最新穩定版本，才會收到錯誤修正和強化功能。如果停用自動更新，並繼續使用舊版剖析器，該版本就不會收到修補程式或更新。如果您回報這個舊版的問題，下一個穩定版就會修正。您必須手動將剖析器升級至最新穩定版，才能取得修正程式。

建立擴充功能

剖析器擴充功能提供彈性的方式，可擴充現有預先建構 (預設) 剖析器的功能。不會取代預先建構的剖析器。而是從原始記錄中，將其他欄位無縫擷取至 UDM 記錄。剖析器擴充功能與自訂剖析器不同。

如要建立剖析器擴充功能，請參閱「使用剖析器擴充功能」。

控管剖析器管理存取權

根據預設，具備「管理員」和「編輯者」角色的使用者可以管理剖析器更新。你可以授予新權限，控管誰能查看及管理這些更新。

如要進一步瞭解如何管理使用者和群組，或指派角色，請參閱角色型存取控制使用者指南。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。