Options de l'analyseur en libre-service
Le modèle de données unifié (UDM, Unified Data Model) de la plate-forme Google Security Operations offre une compatibilité complète pour la détection des menaces et la normalisation des données. Google SecOps développe et met à jour activement des analyseurs prédéfinis pour de nombreux produits commerciaux. Toutefois, un niveau de service strict régit les demandes personnalisées : l'équipe d'ingénierie Google traite les demandes de nouveaux analyseurs ou de mappage de champs supplémentaires dans les analyseurs existants dans la mesure du possible. Pour en savoir plus, vous devez consulter et comprendre les niveaux d'assistance pour l'analyseur.
Pour obtenir les meilleurs résultats (y compris un contrôle immédiat de l'ingestion des journaux, un délai de rentabilité plus rapide et un déploiement instantané des mises à jour), vous devez profiter des options en libre-service suivantes.
Options en libre-service recommandées
| Cas d'utilisation | Fonctionnalité recommandée | Avantages |
|---|---|---|
| Nouvelle source de journaux (spécifique au locataire) | Types de journaux personnalisés | Intégrez rapidement des flux de données uniques ou hautement personnalisés sans avoir à les faire examiner par Google. |
| Extraire des champs supplémentaires (JSON/XML) | Extraction automatique | Identifiez et extrayez automatiquement de nouveaux champs à partir de journaux structurés (JSON, XML) avec une configuration minimale. |
| Mappage UDM personnalisé ou format non JSON/XML | Extensions d'analyseur | Contrôlez précisément et de manière granulaire la logique d'extraction, et assurez-vous que des champs spécifiques sont correctement mappés à l'UDM pour une efficacité maximale de la recherche et de la détection. |
| Créer un tout nouveau parseur | Option A : Extraction automatique ou option B : Analyseur personnalisé complet | A : chemin le plus simple et le plus rapide pour les journaux structurés. B : vous permet de disposer d'un contrôle total et de mettre à jour instantanément les journaux complexes. |
Cas d'utilisation détaillés pour le libre-service
Cette section fournit des scénarios et des conseils pratiques pour vous aider à sélectionner l'outil en libre-service le plus efficace pour vos besoins spécifiques en matière d'analyseur ou d'ingestion de données.
Types de journaux personnalisés pour les sources réservées aux locataires
Si vous devez ingérer un nouveau type de journaux (même si le produit commercial est bien connu), mais que le format de journal est spécifique et destiné à être utilisé uniquement dans votre locataire, vous devez utiliser la fonctionnalité en libre-service pour les types de journaux personnalisés.
Cette approche vous permet d'enregistrer rapidement votre format de journal unique dans votre environnement, sans avoir besoin d'un analyseur global qui nécessiterait un examen et un déploiement approfondis par Google.
Pour savoir comment créer un type de journal personnalisé, consultez Types de journaux personnalisés.
Améliorer les analyseurs existants avec l'extraction automatique (JSON/XML)
Si vous utilisez un analyseur existant pour les journaux au format JSON ou XML et que vous souhaitez extraire des champs supplémentaires qui ne sont pas actuellement analysés, vous devez utiliser l'extraction automatique.
L'extraction automatique analyse de manière dynamique vos journaux structurés pour identifier les champs non mappés. Vous pouvez ainsi enrichir instantanément vos enregistrements UDM sans avoir à modifier le code de l'analyseur de base.
Pour en savoir plus sur les fonctionnalités d'extraction automatique, consultez Présentation de l'extraction automatique.
Affiner l'extraction et le mappage UDM avec les extensions d'analyseur
Si vos journaux sont dans un format différent de JSON ou XML, ou si vous avez besoin d'un contrôle précis sur la façon dont les champs extraits sont mappés à des champs UDM spécifiques, vous devez utiliser les extensions d'analyseur.
Les extensions d'analyseur fournissent un mécanisme puissant pour modifier, étendre ou remplacer la logique des analyseurs existants. Elles sont idéales lorsque vous devez :
- Mappez les champs qui ne sont pas identifiés automatiquement.
- Appliquez une logique personnalisée pour reformater les valeurs des champs.
- Assurez-vous que les données sont normalisées avec précision selon la norme UDM.
Pour en savoir plus sur l'implémentation des extensions d'analyseur, consultez Extensions d'analyseur et Exemples d'extensions d'analyseur.
Créer un analyseur pour une nouvelle source de journaux
Lorsque vous intégrez une toute nouvelle source de journaux, utilisez l'une des options en libre-service suivantes, classées par ordre de complexité :
Option 1 : Extraction automatique (simple)
L'extraction automatique est la méthode la plus simple et recommandée pour les journaux structurés (JSON/XML). Lorsque votre nouvelle source de journaux est dans un format structuré, l'extraction automatique confirme que tous les champs sont immédiatement analysés et prêts à être ingérés dans l'UDM avec un minimum d'efforts de configuration.
Pour en savoir plus sur l'utilisation de cette fonctionnalité, consultez Présentation de l'extraction automatique.
Option 2 : Analyseur personnalisé complet (avancé) :
Cette option est idéale pour les formats de journaux complexes ou uniques. Si les journaux sont complexes, non structurés ou nécessitent des modèles d'expressions régulières spécifiques pour l'extraction, vous pouvez créer vous-même un analyseur personnalisé complet. Vous disposez ainsi d'une propriété complète de la logique de l'analyseur, ce qui vous permet d'effectuer des mises à jour et des itérations instantanées.
Pour en savoir plus sur la gestion des analyseurs personnalisés complets, consultez Analyseurs personnalisés.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.