אפשרויות של מנתח נתונים בשירות עצמי
מודל הנתונים המאוחד (UDM) של פלטפורמת Google Security Operations מספק תמיכה מקיפה בזיהוי איומים ובנרמול נתונים. צוות Google SecOps מפתח ומעדכן באופן פעיל מנתחי נתונים מוכנים מראש עבור מוצרים מסחריים רבים. עם זאת, בקשות מותאמות אישית כפופות לרמת שירות מחמירה: צוות ההנדסה של Google מעבד בקשות לניתוח נתונים חדש או למיפוי שדות נוסף בניתוח נתונים קיים על בסיס המאמץ הטוב ביותר. פרטים מלאים מופיעים במאמר בנושא רמות התמיכה של כלי הניתוח.
כדי להשיג את התוצאות הטובות ביותר – כולל שליטה מיידית בהעברת יומנים, קיצור הזמן להפקת ערך ופריסה מיידית של עדכונים – אתם צריכים להשתמש באפשרויות הבאות של שירות עצמי.
אפשרויות מומלצות לשירות עצמי
| תרחיש לדוגמה | יכולת מומלצת | יתרונות |
|---|---|---|
| מקור יומן חדש (ספציפי לדייר) | סוגים של יומנים בהתאמה אישית | אפשר להוסיף במהירות זרמי נתונים ייחודיים או מותאמים אישית מאוד בלי שיידרש אישור של Google. |
| חילוץ שדות נוספים (JSON/XML) | חילוץ אוטומטי | זיהוי אוטומטי של שדות חדשים ביומנים מובנים (JSON, XML) וחילוץ שלהם, עם מינימום הגדרות. |
| מיפוי UDM מותאם אישית או מיפוי שאינו JSON/XML | תוספים למנתח | שליטה מדויקת בפרטי הלוגיקה של החילוץ, כדי לוודא ששדות ספציפיים ממופים בצורה נכונה ל-UDM, וכך לשפר את יעילות החיפוש והזיהוי. |
| יצירת מנתח חדש לגמרי | אפשרות א': חילוץ אוטומטי או אפשרות ב': מנתח תחביר מותאם אישית מלא | תשובה: הדרך הכי פשוטה ומהירה לרישום יומנים מובנים. ב: מאפשרת לכם בעלות מלאה ויכולת עדכון מיידית של יומנים מורכבים. |
תרחישים מפורטים לדוגמה לשימוש בשירות עצמי
בקטע הזה מפורטים תרחישים והנחיות מעשיות שיעזרו לכם לבחור את הכלי הכי יעיל בשירות עצמי לצרכים הספציפיים שלכם בנוגע לניתוח או להטמעת נתונים.
סוגי יומנים מותאמים אישית למקורות של דיירים בלבד
אם אתם צריכים להטמיע סוג חדש של יומן – גם אם מדובר במוצר מסחרי מוכר – אבל פורמט היומן ספציפי ומיועד לשימוש רק בדייר שלכם, אתם צריכים להשתמש ביכולת השירות העצמי של סוגי יומנים בהתאמה אישית.
הגישה הזו מאפשרת לכם לרשום במהירות את פורמט היומן הייחודי שלכם בסביבה שלכם, בלי שתצטרכו להשתמש במנתח גלובלי שידרוש בדיקה ופריסה נרחבות על ידי Google.
מידע נוסף על יצירת סוג יומן מותאם אישית זמין במאמר בנושא סוגי יומנים מותאמים אישית.
שיפור מנתחי נתונים קיימים באמצעות חילוץ אוטומטי (JSON/XML)
אם אתם משתמשים במנתח קיים ליומנים בפורמט JSON או XML ואתם רוצים לחלץ שדות נוספים שלא מנותחים כרגע, אתם צריכים להשתמש בחילוץ אוטומטי.
התכונה 'חילוץ אוטומטי' סורקת באופן דינמי את היומנים המובנים כדי לזהות שדות לא ממופים, וכך מאפשרת להעשיר באופן מיידי את רשומות ה-UDM בלי לבצע שינויים בקוד של מנתח הבסיס.
מידע נוסף על יכולות החילוץ האוטומטי זמין במאמר סקירה כללית על חילוץ אוטומטי.
שיפור הדיוק של החילוץ ומיפוי UDM באמצעות תוספים של מנתח
אם היומנים שלכם הם בפורמט שונה מ-JSON או XML, או אם אתם צריכים שליטה מדויקת באופן המיפוי של השדות שחולצו לשדות ספציפיים ב-UDM, אתם צריכים להשתמש בתוספי ניתוח.
תוספים של מנתח מספקים מנגנון רב עוצמה לשינוי, להרחבה או לביטול של הלוגיקה של מנתחים קיימים. הם הבחירה האידיאלית אם אתם צריכים:
- מיפוי שדות שלא מזוהים באופן אוטומטי.
- החלת לוגיקה מותאמת אישית כדי לשנות את הפורמט של ערכי השדות.
- חשוב לוודא שהנתונים עוברים נורמליזציה מדויקת לפי תקן UDM.
מידע נוסף על הטמעה של תוספי ניתוח זמין במאמרים תוספי ניתוח ודוגמאות לתוספי ניתוח.
יצירת מנתח חדש למקור יומן חדש
כשמגדירים מקור יומנים חדש לגמרי, אפשר להשתמש באחת מהאפשרויות הבאות לשירות עצמי, לפי סדר המורכבות:
אפשרות 1: חילוץ אוטומטי (פשוט):
חילוץ אוטומטי הוא הדרך המומלצת והפשוטה ביותר לנתח יומנים מובְנים (JSON/XML). כשמקור היומן החדש הוא בפורמט מובְנה, החילוץ האוטומטי מוודא שכל השדות מנותחים באופן מיידי ומוכנים להטמעה ב-UDM, עם מינימום מאמץ בהגדרה.
מידע נוסף על השימוש ביכולת הזו זמין במאמר סקירה כללית על חילוץ אוטומטי.
אפשרות 2: מנתח מותאם אישית מלא (מתקדם):
האפשרות הזו מתאימה במיוחד לפורמטים מורכבים או ייחודיים של יומנים. אם היומנים מורכבים, לא מובנים או דורשים תבניות regex ספציפיות לחילוץ, אתם יכולים ליצור בעצמכם מנתח מותאם אישית מלא. כך תקבלו בעלות מלאה על לוגיקת הניתוח ותוכלו לבצע עדכונים ואיטרציות באופן מיידי.
מידע נוסף על ניהול מנתחים מותאמים אישית מלאים זמין במאמר בנושא מנתחים מותאמים אישית.
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.