要求預建記錄類型及建立自訂記錄類型
本文說明如何處理現有 Google Security Operations 剖析器未處理的記錄資料。在這種情況下,Google SecOps 支援建立記錄類型,以便進行剖析和擷取。
您可以選擇下列記錄類型:
預先建立的記錄類型
這個路徑適用於您想以平台標準形式提供的格式,讓所有 Google SecOps 客戶都能使用。
如果記錄類型僅供租戶內部使用,建議使用自訂記錄類型 (即使產品是商用產品也一樣)。
如有需要,您可以向 Google SecOps 提出要求,將預建記錄類型新增至平台:
| 動作項目 | 流程與時間表 |
|---|---|
| 要求新的記錄類型 | 如要提出要求,請與 Google 帳戶管理員或支援代表聯絡。核准後,所有 Google SecOps 客戶都能使用新的預建記錄類型。 |
| 要求新的預建剖析器 | Google 會將新的預先建構剖析器要求視為新的功能要求,並納入產品待辦事項清單。 |
自訂記錄類型
如果記錄屬於專有或租戶專用,且速度和隱私權至關重要,建議採用這種做法。
建議:即使來源產品是商用產品,如果格式僅供租戶內部使用,請使用自訂記錄類型。
擁有權:由貴機構建立及全面管理。
剖析器規定:您必須自行設定對應的自訂剖析器。
適用情形:自訂記錄類型和剖析器建立後約 10 分鐘,貴機構就能使用。
如要瞭解對應的預先建立剖析器和自訂剖析器,請參閱「管理預先建立和自訂剖析器」。
建立自訂記錄類型
如要建立自訂記錄類型,請按照下列步驟操作:
依序前往「SIEM 設定」>「可用記錄類型」。您可以使用「搜尋」功能查看可用的記錄類型。
按一下「要求記錄類型」。
在「自行建立記錄類型」下方,輸入記錄類型的詳細資料。
舉例來說,如要為 Azure Key Vault 記錄建立自訂記錄類型,請完成下列步驟:
在「Vendor/Product」(供應商/產品) 欄位中,輸入
Azure Key Vault logging。在「Log Type」(記錄類型) 欄位中輸入
AZURE_KEYVAULT_LOGGING。
按一下「建立記錄類型」。
請等待 10 分鐘,確認所有元件都提供新的記錄類型,再使用該類型建立動態消息。
自訂記錄類型限制如下:
總計:400
每日:25
每小時:8
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。