Opciones del analizador de autoservicio
El Modelo de datos unificado (UDM) de la plataforma de Google Security Operations proporciona asistencia integral para la detección de amenazas y la normalización de datos. Google SecOps desarrolla y actualiza de forma activa analizadores compilados previamente para muchos productos comerciales. Sin embargo, un nivel de servicio estricto rige las solicitudes personalizadas: Google Engineering procesa las solicitudes de analizadores nuevos o de asignación de campos adicionales en los analizadores existentes según su mejor capacidad. Debes revisar y comprender los niveles de compatibilidad del analizador para obtener todos los detalles.
Para obtener los mejores resultados, incluido el control inmediato de la transferencia de registros, un tiempo de rentabilidad más rápido y la implementación instantánea de actualizaciones, debes aprovechar las siguientes opciones de autoservicio.
Opciones de autoservicio recomendadas
| Caso práctico | Capacidad recomendada | Beneficios |
|---|---|---|
| Nueva fuente de registros (específica del usuario) | Tipos de registros personalizados | Incorpora rápidamente flujos de datos únicos o altamente personalizados sin necesidad de que Google los revise. |
| Cómo extraer campos adicionales (JSON/XML) | Extracción automática | Identifica y extrae automáticamente campos nuevos de registros estructurados (JSON, XML) con una configuración mínima. |
| Asignación de UDM personalizada o no JSON/XML | Extensiones del analizador | Logra un control preciso y detallado sobre la lógica de extracción, y asegúrate de que los campos específicos se asignen correctamente al UDM para lograr la máxima eficacia en la búsqueda y la detección. |
| Cómo crear un analizador nuevo completo | Opción A: Extracción automática o opción B: Analizador personalizado completo | R.: Es la ruta más sencilla y rápida para los registros estructurados. B: Te brinda propiedad completa y capacidad de actualización instantánea para registros complejos. |
Casos de uso detallados para el autoservicio
En esta sección, se proporcionan situaciones y orientación práctica para ayudarte a seleccionar la herramienta de autoservicio más eficaz para tus necesidades específicas de transferencia o análisis de datos.
Tipos de registros personalizados para fuentes exclusivas del arrendatario
Si necesitas transferir un nuevo tipo de registro, incluso si el producto comercial es conocido, pero el formato de registro es específico y está destinado solo para su uso dentro de tu arrendatario, debes usar la capacidad de autoservicio para los tipos de registros personalizados.
Este enfoque te permite registrar rápidamente tu formato de registro único en tu entorno, sin necesidad de un analizador global que requeriría una revisión y una implementación exhaustivas por parte de Google.
Para obtener más información sobre cómo crear un tipo de registro personalizado, consulta Tipos de registros personalizados.
Mejora los analizadores existentes con la función de extracción automática (JSON/XML)
Si usas un analizador existente para los registros en formato JSON o XML y deseas extraer campos adicionales que no se analizan actualmente, debes usar la extracción automática.
La extracción automática analiza de forma dinámica tus registros estructurados para identificar campos no asignados, lo que te permite enriquecer al instante tus registros del UDM sin necesidad de realizar cambios en el código del analizador base.
Para obtener más información sobre las capacidades de la extracción automática, consulta la descripción general de la extracción automática.
Ajusta la extracción y la asignación del UDM con extensiones del analizador
Si tus registros tienen un formato diferente al de JSON o XML, o si necesitas un control preciso sobre cómo se asignan los campos extraídos a campos específicos del UDM, debes utilizar las extensiones del analizador.
Las extensiones del analizador proporcionan un mecanismo eficaz para modificar, extender o anular la lógica de los analizadores existentes. Son la opción ideal cuando necesitas hacer lo siguiente:
- Asigna los campos que no se identifican automáticamente.
- Aplicar lógica personalizada para reformatear los valores de los campos
- Garantiza la normalización precisa de los datos según el estándar del UDM.
Para obtener más información sobre la implementación de extensiones del analizador, consulta Extensiones del analizador y Ejemplos de extensiones del analizador.
Crea un nuevo analizador para una nueva fuente de registros
Cuando incorpores una fuente de registros completamente nueva, usa una de estas opciones de autoservicio, ordenadas por complejidad:
Opción 1: Extracción automática (simple):
La extracción automática es la ruta más sencilla y recomendada para los registros estructurados (JSON/XML). Cuando tu nueva fuente de registros tiene un formato estructurado, la extracción automática confirma que todos los campos se analizan de inmediato y están listos para la transferencia de datos al UDM con un esfuerzo de configuración mínimo.
Para obtener más información sobre el uso de esta capacidad, consulta la descripción general de la extracción automática.
Opción 2: Analizador personalizado completo (avanzado):
Esta opción es más adecuada para los formatos de registro complejos o únicos. Si los registros son complejos, no estructurados o requieren patrones de regex específicos para la extracción, puedes crear tu propio analizador personalizado completo. Esto te otorga la propiedad completa de la lógica del analizador y permite actualizaciones e iteraciones instantáneas.
Para obtener más información sobre cómo administrar analizadores personalizados completos, consulta Analizadores personalizados.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.