要求預建記錄類型及建立自訂記錄類型
本文說明如何處理現有 Google Security Operations 剖析器未處理的記錄資料。在這種情況下,Google SecOps 支援建立記錄類型,以啟用剖析和擷取作業。
您可以選擇下列記錄類型:
預先建立的記錄類型
如果您想將格式做為平台標準,供所有 Google SecOps 客戶使用,請選擇這個路徑。
如果記錄類型僅供租戶內部使用,建議使用自訂記錄類型 (即使產品是商用產品也一樣)。
如有需要,您可以向 Google SecOps 提出要求,請他們在平台中新增預建記錄類型:
| 動作項目 | 流程與時間表 |
|---|---|
| 要求新的記錄類型 | 如要提出要求,請與 Google 客戶經理或支援代表聯絡。核准後,所有 Google SecOps 客戶都能使用新的預建記錄類型。 |
| 要求新增預建剖析器 | Google 會將新的預先建構剖析器要求視為新的功能要求,並納入產品待處理事項。 |
自訂記錄類型
建議您使用這個路徑處理專有或租戶專屬記錄,因為速度和隱私權是這類記錄的關鍵。
建議:如果格式僅供租戶內部使用,即使來源產品是商用產品,也請使用自訂記錄類型。
擁有權:由貴機構建立及全面管理。
剖析器規定:您必須自行設定對應的自訂剖析器。
適用情形:自訂記錄類型和剖析器建立後約 10 分鐘,貴機構就能使用。
如要瞭解對應的預先建立剖析器和自訂剖析器,請參閱「管理預先建立和自訂剖析器」。
建立自訂記錄類型
如要建立自訂記錄類型,請按照下列步驟操作:
依序前往「SIEM 設定」>「可用記錄類型」。您可以使用「搜尋」功能查看可用的記錄類型。
按一下「建立自訂記錄類型」。
在「自行建立記錄類型」下方,輸入記錄類型的詳細資料。
舉例來說,如要為 Azure Key Vault 記錄建立自訂記錄類型,請完成下列步驟:
在「廠商/產品」欄位中,輸入
Azure Key Vault logging。在「Log Type」(記錄類型) 欄位中輸入
AZURE_KEYVAULT_LOGGING。
按一下「建立記錄類型」。請注意,記錄類型會新增
_CUSTOM後置字元。請等待 10 分鐘,確保所有元件都能使用新的記錄類型,再使用該類型建立動態消息。
自訂記錄類型限制如下:
總計:400
每日:25
每小時:8
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。