Opciones de analizador de autoservicio
El modelo de datos unificado (UDM) de la plataforma Google Security Operations ofrece una asistencia completa para la detección de amenazas y la normalización de datos. Google SecOps desarrolla y actualiza activamente analizadores predefinidos para muchos productos comerciales. Sin embargo, se aplica un nivel de servicio estricto a las solicitudes personalizadas: el equipo de ingeniería de Google procesa las solicitudes de nuevos analizadores o de asignación de campos adicionales en analizadores ya existentes en la medida de lo posible. Debes consultar y comprender los niveles de asistencia del analizador para obtener información completa.
Para obtener los mejores resultados (como el control inmediato de la ingesta de registros, un tiempo de rentabilización más rápido y la implementación instantánea de actualizaciones), debes aprovechar las siguientes opciones de autoservicio.
Opciones de autoservicio recomendadas
| Caso práctico | Función recomendada | Ventajas |
|---|---|---|
| Nueva fuente de registro (específica del arrendatario) | Tipos de registro personalizados | Incorpora rápidamente flujos de datos únicos o muy personalizados sin necesidad de que Google los revise. |
| Extraer campos adicionales (JSON o XML) | Extracción automática | Identifica y extrae automáticamente campos nuevos de registros estructurados (JSON y XML) con una configuración mínima. |
| Asignación de UDM personalizada o no JSON/XML | Extensiones de analizador | Consigue un control preciso y detallado sobre la lógica de extracción y asegúrate de que los campos específicos se asignen correctamente a UDM para maximizar la eficacia de la búsqueda y la detección. |
| Crear un nuevo analizador completo | Opción A: extracción automática u opción B: analizador totalmente personalizado | R: La forma más sencilla y rápida de registrar eventos estructurados. B: Te ofrece la propiedad completa y la posibilidad de actualizar al instante los registros complejos. |
Casos prácticos detallados del autoservicio
En esta sección se ofrecen situaciones y directrices prácticas para ayudarte a seleccionar la herramienta de autoservicio más eficaz para tus necesidades específicas de analizador o de ingesta de datos.
Tipos de registro personalizados para fuentes exclusivas de inquilinos
Si necesita ingerir un nuevo tipo de registro (aunque el producto comercial sea conocido) pero el formato de registro es específico y solo se puede usar en su tenant, debe usar la función de autoservicio para tipos de registro personalizados.
Este enfoque te permite registrar rápidamente tu formato de registro único en tu entorno, sin necesidad de usar un analizador global que requeriría una revisión y una implementación exhaustivas por parte de Google.
Para obtener más información sobre cómo crear un tipo de registro personalizado, consulta Tipos de registro personalizados.
Mejorar los analizadores con la extracción automática (JSON/XML)
Si usas un analizador ya creado para los registros en formato JSON o XML y quieres extraer campos adicionales que no se estén analizando, debes usar la opción Extracción automática.
La extracción automática analiza dinámicamente los registros estructurados para identificar los campos sin asignar, lo que le permite enriquecer al instante sus registros de UDM sin tener que modificar el código del analizador base.
Para obtener más información sobre las funciones de extracción automática, consulta el artículo Descripción general de la extracción automática.
Ajustar la extracción y la asignación de UDM con extensiones de analizador
Si tus registros tienen un formato diferente a JSON o XML, o si necesitas controlar con precisión cómo se asignan los campos extraídos a campos de UDM específicos, debes utilizar extensiones de analizador.
Las extensiones de analizador proporcionan un mecanismo eficaz para modificar, ampliar o anular la lógica de los analizadores. Son la opción ideal cuando necesitas:
- Asigna los campos que no se hayan identificado automáticamente.
- Aplica una lógica personalizada para cambiar el formato de los valores de los campos.
- Asegura una normalización de datos precisa según el estándar UDM.
Para obtener más información sobre cómo implementar extensiones del analizador, consulta los artículos Extensiones del analizador y Ejemplos de extensiones del analizador.
Crear un nuevo analizador para una nueva fuente de registro
Si vas a incorporar una fuente de registro completamente nueva, utiliza una de estas opciones de autoservicio, ordenadas por complejidad:
Opción 1: Extracción automática (simple):
La extracción automática es la opción más sencilla y recomendada para los registros estructurados (JSON o XML). Si tu nueva fuente de registro tiene un formato estructurado, la extracción automática confirma que todos los campos se analizan inmediatamente y están listos para la ingestión de UDM con un esfuerzo de configuración mínimo.
Para obtener más información sobre cómo usar esta función, consulta el artículo Descripción general de la extracción automática.
Opción 2: Analizador personalizado completo (avanzado)
Esta opción es la más adecuada para formatos de registro complejos o únicos. Si los registros son complejos, no están estructurados o requieren patrones de expresiones regulares específicos para la extracción, puedes crear un analizador personalizado completo por tu cuenta. De esta forma, tendrás la propiedad completa de la lógica del analizador y podrás hacer actualizaciones e iteraciones al instante.
Para obtener más información sobre cómo gestionar analizadores personalizados completos, consulte Analizadores personalizados.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.