Demander des types de journaux prédéfinis et en créer des personnalisés
Ce document décrit les options qui vous aident à traiter les données de journaux qui ne sont pas traitées par les analyseurs Google Security Operations existants. Dans ce cas, Google SecOps permet de créer des types de journaux pour activer l'analyse et l'ingestion.
Vous pouvez choisir entre les types de journaux suivants :
Types de journaux prédéfinis
Ce chemin d'accès est destiné aux formats que vous souhaitez proposer en tant que norme de plate-forme, afin de les rendre disponibles pour tous les clients Google SecOps.
Si le type de journal est destiné à un usage interne dans votre locataire, nous vous recommandons d'utiliser un type de journal personnalisé (même si le produit est commercial).
Si nécessaire, vous pouvez envoyer une demande à Google SecOps pour qu'un type de journal prédéfini soit ajouté à la plate-forme :
| Élément concerné | Processus et calendrier |
|---|---|
| Demander un nouveau type de journal | Contactez votre responsable de compte Google ou votre représentant du service d'assistance pour envoyer la demande. Une fois approuvé, le nouveau type de journal prédéfini est disponible pour tous les clients Google SecOps. |
| Demander un nouvel analyseur prédéfini | Google gère une nouvelle demande d'analyseur prédéfini en tant que nouvelle demande de fonctionnalité, qui fait partie du backlog produit. |
Types de journaux personnalisés
Ce chemin est recommandé pour les journaux propriétaires ou spécifiques à un locataire, où la vitesse et la confidentialité sont essentielles.
Recommandation : Utilisez un type de journal personnalisé si le format est destiné uniquement à un usage interne au sein de votre locataire, même si le produit source est commercial.
Propriété : créé et entièrement géré par votre organisation.
Exigence concernant l'analyseur : vous devez configurer en interne les analyseurs personnalisés correspondants.
Disponibilité : les types de journaux et les analyseurs personnalisés ne sont disponibles pour votre organisation qu'environ 10 minutes après leur création.
Pour en savoir plus sur les analyseurs prédéfinis et les analyseurs personnalisés correspondants, consultez Gérer les analyseurs prédéfinis et personnalisés.
Créer un type de journal personnalisé
Pour créer un type de journal personnalisé :
Accédez à Paramètres du SIEM > Types de journaux disponibles. Vous pouvez afficher les types de journaux disponibles à l'aide de la fonctionnalité Rechercher.
Cliquez sur Demander un type de journal.
Sous Créer vous-même un type de journal personnalisé, saisissez les détails de votre type de journal.
Par exemple, pour créer un type de journal personnalisé pour la journalisation Azure Key Vault, procédez comme suit :
Dans le champ Fournisseur/Produit, saisissez
Azure Key Vault logging.Dans le champ Type de journal, saisissez
AZURE_KEYVAULT_LOGGING.
Cliquez sur Créer un type de journal.
Patientez 10 minutes pour vous assurer que le nouveau type de journal est disponible dans tous les composants avant de créer des flux avec celui-ci.
Voici les limites des types de journaux personnalisés :
Total : 400
Quotidien : 25
Toutes les heures : 8
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.