Self-Service-Parser-Optionen
Das Unified Data Model (UDM) der Google Security Operations-Plattform bietet umfassende Unterstützung für die Erkennung von Bedrohungen und die Datenstandardisierung. Google SecOps entwickelt und aktualisiert aktiv vorgefertigte Parser für viele kommerzielle Produkte. Für benutzerdefinierte Anfragen gilt jedoch ein strenges Serviceniveau: Google Engineering bearbeitet Anfragen für neue Parser oder zusätzliche Feldzuordnungen in vorhandenen Parsern nach bestem Wissen und Gewissen. Weitere Informationen finden Sie unter Parser-Supportstufen.
Um die besten Ergebnisse zu erzielen, einschließlich sofortiger Kontrolle über die Log-Aufnahme, schnellerer Wertschöpfung und sofortiger Bereitstellung von Updates, müssen Sie die folgenden Self-Service-Optionen nutzen.
Empfohlene Self-Service-Optionen
| Anwendungsfall | Empfohlene Funktion | Vorteile |
|---|---|---|
| Neue Logquelle (mandantenspezifisch) | Benutzerdefinierte Logtypen | Sie können einzigartige oder stark angepasste Datenstreams schnell einbinden, ohne dass eine Überprüfung durch Google erforderlich ist. |
| Zusätzliche Felder extrahieren (JSON/XML) | Automatische Extraktion | Neue Felder aus strukturierten Logs (JSON, XML) mit minimaler Konfiguration automatisch erkennen und extrahieren. |
| Benutzerdefinierte UDM-Zuordnung oder kein JSON/XML | Parser-Erweiterungen | Sie erhalten eine detaillierte, präzise Kontrolle über die Extraktionslogik und können dafür sorgen, dass bestimmte Felder korrekt UDM zugeordnet werden, um die Effektivität von Suche und Erkennung zu maximieren. |
| Einen völlig neuen Parser erstellen | Option A: Automatische Extraktion oder Option B: Vollständig benutzerdefinierter Parser | A:Einfachster und schnellster Weg für strukturierte Logs. B:Sie haben die vollständige Inhaberschaft und können komplexe Protokolle sofort aktualisieren. |
Detaillierte Anwendungsfälle für Self-Service
In diesem Abschnitt finden Sie Szenarien und praktische Anleitungen, die Ihnen bei der Auswahl des effektivsten Self-Service-Tools für Ihre spezifischen Parser- oder Datenaufnahmeanforderungen helfen.
Benutzerdefinierte Logtypen für Quellen nur für Mandanten
Wenn Sie einen neuen Protokolltyp erfassen müssen, auch wenn das kommerzielle Produkt bekannt ist, das Protokollformat jedoch spezifisch ist und nur für die Verwendung in Ihrem Mandanten vorgesehen ist, sollten Sie die Self-Service-Funktion für benutzerdefinierte Protokolltypen verwenden.
Bei diesem Ansatz können Sie Ihr eindeutiges Logformat schnell in Ihrer Umgebung registrieren, ohne dass ein globaler Parser erforderlich ist, der eine umfangreiche Überprüfung und Bereitstellung durch Google erfordern würde.
Weitere Informationen zum Erstellen eines benutzerdefinierten Logtyps finden Sie unter Benutzerdefinierte Logtypen.
Vorhandene Parser mit der automatischen Extraktion (JSON/XML) optimieren
Wenn Sie einen vorhandenen Parser für Logs im JSON- oder XML-Format verwenden und zusätzliche Felder extrahieren möchten, die derzeit nicht geparst werden, sollten Sie die automatische Extraktion verwenden.
Bei der automatischen Extraktion werden Ihre strukturierten Logs dynamisch gescannt, um nicht zugeordnete Felder zu identifizieren. So können Sie Ihre UDM-Datensätze sofort anreichern, ohne dass Codeänderungen am Basisparser erforderlich sind.
Weitere Informationen zu den Funktionen für die automatische Extraktion finden Sie unter Übersicht über die automatische Extraktion.
Extraktion und UDM-Zuordnung mit Parsererweiterungen optimieren
Wenn Ihre Logs in einem anderen Format als JSON oder XML vorliegen oder Sie genau steuern möchten, wie extrahierte Felder bestimmten UDM-Feldern zugeordnet werden, sollten Sie Parser-Erweiterungen verwenden.
Parser-Erweiterungen bieten einen leistungsstarken Mechanismus zum Ändern, Erweitern oder Überschreiben der Logik vorhandener Parser. Sie sind die ideale Wahl, wenn Sie Folgendes benötigen:
- Felder zuordnen, die nicht automatisch erkannt werden.
- Benutzerdefinierte Logik anwenden, um Feldwerte neu zu formatieren.
- Sorgen Sie für eine genaue Datennormalisierung gemäß dem UDM-Standard.
Weitere Informationen zum Implementieren von Parser-Erweiterungen finden Sie unter Parser-Erweiterungen und Beispiele für Parser-Erweiterungen.
Neuen Parser für eine neue Logquelle erstellen
Wenn Sie eine völlig neue Logquelle einrichten, verwenden Sie eine der folgenden Selfservice-Optionen, sortiert nach Komplexität:
Option 1: Automatische Extraktion (einfach):
Die automatische Extraktion ist der empfohlene und einfachste Weg für strukturierte Logs (JSON/XML). Wenn Ihre neue Datenquelle ein strukturiertes Format hat, wird durch die automatische Extraktion bestätigt, dass alle Felder sofort geparst werden und mit minimalem Konfigurationsaufwand für die UDM-Aufnahme bereit sind.
Weitere Informationen zur Verwendung dieser Funktion finden Sie unter Übersicht zur automatischen Extraktion.
Option 2: Vollständig benutzerdefinierter Parser (erweitert):
Diese Option eignet sich am besten für komplexe oder einzigartige Log-Formate. Wenn die Logs komplex oder unstrukturiert sind oder für die Extraktion bestimmte reguläre Ausdrücke erfordern, können Sie einen vollständig benutzerdefinierten Parser erstellen. Dadurch erhalten Sie die vollständige Kontrolle über die Parserlogik und können sofort Updates vornehmen und Iterationen durchführen.
Weitere Informationen zum Verwalten vollständig benutzerdefinierter Parser finden Sie unter Benutzerdefinierte Parser.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten