Vordefinierte Logtypen anfordern und benutzerdefinierte Logtypen erstellen

Unterstützt in:

In diesem Dokument werden Optionen beschrieben, mit denen Sie Protokolldaten verarbeiten können, die nicht von vorhandenen Google Security Operations-Parsern verarbeitet werden. In solchen Fällen unterstützt Google SecOps die Erstellung von Logtypen, um das Parsen und die Aufnahme zu ermöglichen.

Sie können zwischen den folgenden Logtypen wählen:

Vordefinierte Logtypen

Dieser Pfad ist für Formate vorgesehen, die Sie als Plattformstandard beitragen möchten, damit sie allen Google SecOps-Kunden zur Verfügung stehen.

Wenn der Protokolltyp für die interne Verwendung in Ihrem Mandanten vorgesehen ist, empfehlen wir die Verwendung eines benutzerdefinierten Protokolltyps (auch wenn das Produkt kommerziell ist).

Bei Bedarf können Sie eine Anfrage an Google SecOps senden, um einen vorkonfigurierten Logtyp zur Plattform hinzuzufügen:

Element, das gelöscht wird Prozess und Zeitplan
Neuen Logtyp anfordern Wenden Sie sich an Ihren Google-Kundenbetreuer oder Supportmitarbeiter, um den Antrag zu stellen. Nach der Genehmigung ist der neue vorgefertigte Logtyp für alle Google SecOps-Kunden verfügbar.
Neuen vordefinierten Parser anfordern Google behandelt eine neue, vordefinierte Parseranfrage als neuen Feature Request, der Teil des Produkt-Backlogs ist.

Benutzerdefinierte Logtypen

Dieser Pfad wird für proprietäre oder mandantenspezifische Logs empfohlen, bei denen Geschwindigkeit und Datenschutz wichtig sind.

  • Empfehlung: Verwenden Sie einen benutzerdefinierten Protokolltyp, wenn das Format nur für die interne Verwendung in Ihrem Mandanten vorgesehen ist, auch wenn das Quellprodukt kommerziell ist.

  • Inhaberschaft: Von Ihrer Organisation erstellt und vollständig verwaltet.

  • Parser-Anforderung: Sie müssen die entsprechenden benutzerdefinierten Parser selbst konfigurieren.

  • Verfügbarkeit: Die benutzerdefinierten Logtypen und Parser sind etwa 10 Minuten nach der Erstellung nur für Ihre Organisation verfügbar.

Informationen zu den entsprechenden vorgefertigten Parsern und benutzerdefinierten Parsern finden Sie unter Vorgefertigte und benutzerdefinierte Parser verwalten.

Benutzerdefinierten Logtyp erstellen

So erstellen Sie einen benutzerdefinierten Logtyp:

  1. Rufen Sie die SIEM-Einstellungen > Verfügbare Log-Typen auf. Mit der Suchfunktion können Sie verfügbare Logtypen aufrufen.

  2. Klicken Sie auf Log-Typ anfordern.

  3. Geben Sie unter Benutzerdefinierten Logtyp selbst erstellen Details für Ihren Logtyp ein.

    Wenn Sie beispielsweise einen benutzerdefinierten Logtyp für Azure Key Vault-Logging erstellen möchten, gehen Sie so vor:

    • Geben Sie im Feld Anbieter/Produkt den Wert Azure Key Vault logging ein.

    • Geben Sie im Feld Log Type (Protokolltyp) AZURE_KEYVAULT_LOGGING ein.

  4. Klicken Sie auf Log-Typ erstellen.

  5. Warten Sie 10 Minuten, bis der neue Log-Typ in allen Komponenten verfügbar ist, bevor Sie Feeds damit erstellen.

Für benutzerdefinierte Logtypen gelten die folgenden Einschränkungen:

  • Insgesamt: 400

  • Täglich: 25

  • Stündlich: 8

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten