Opzioni di analisi self-service
Il modello UDM (Unified Data Model) della piattaforma Google Security Operations offre un supporto completo per il rilevamento delle minacce e la normalizzazione dei dati. Google SecOps sviluppa e aggiorna attivamente i parser predefiniti per molti prodotti commerciali. Tuttavia, le richieste personalizzate sono regolate da un rigoroso livello di servizio: Google Engineering elabora le richieste di nuovi parser o di mappatura di campi aggiuntivi nei parser esistenti in base al massimo impegno. Per informazioni dettagliate, devi esaminare e comprendere i livelli di assistenza per il parser.
Per ottenere i risultati migliori, tra cui il controllo immediato dell'importazione dei log, tempi di realizzazione più rapidi e l'implementazione immediata degli aggiornamenti, devi sfruttare le seguenti opzioni self-service.
Opzioni self-service consigliate
| Caso d'uso | Funzionalità consigliata | Vantaggi |
|---|---|---|
| Nuova origine log (specifica per il tenant) | Tipi di log personalizzati | Esegui rapidamente l'onboarding di flussi di dati unici o altamente personalizzati senza richiedere la revisione di Google. |
| Estrazione di campi aggiuntivi (JSON/XML) | Estrazione automatica | Identifica ed estrai automaticamente nuovi campi dai log strutturati (JSON, XML) con una configurazione minima. |
| Mappatura UDM personalizzata o non JSON/XML | Estensioni parser | Ottieni un controllo granulare e preciso sulla logica di estrazione e assicurati che campi specifici siano mappati correttamente a UDM per la massima efficacia di ricerca e rilevamento. |
| Creare un nuovo parser completo | Opzione A: estrazione automatica o opzione B: parser completamente personalizzato | R: Il percorso più semplice e veloce per i log strutturati. B: Ti offre la proprietà completa e la possibilità di aggiornamento immediato per i log complessi. |
Casi d'uso dettagliati per il self-service
Questa sezione fornisce scenari e indicazioni pratiche per aiutarti a selezionare lo strumento self-service più efficace per le tue esigenze specifiche di analisi o importazione dati.
Tipi di log personalizzati per origini solo tenant
Se devi importare un nuovo tipo di log, anche se il prodotto commerciale è noto, ma il formato del log è specifico e destinato all'uso solo all'interno del tuo tenant, devi utilizzare la funzionalità self-service per i tipi di log personalizzati.
Questo approccio ti consente di registrare rapidamente il tuo formato di log univoco all'interno del tuo ambiente, evitando la necessità di un parser globale che richiederebbe un'ampia revisione e implementazione da parte di Google.
Per saperne di più su come creare un tipo di log personalizzato, consulta Tipi di log personalizzati.
Migliorare i parser esistenti con l'estrazione automatica (JSON/XML)
Se utilizzi un parser esistente per i log in formato JSON o XML e vuoi estrarre campi aggiuntivi che non vengono attualmente analizzati, devi utilizzare l'estrazione automatica.
L'estrazione automatica analizza dinamicamente i log strutturati per identificare i campi non mappati, consentendoti di arricchire immediatamente i record UDM senza richiedere modifiche al codice del parser di base.
Per saperne di più sulle funzionalità di estrazione automatica, consulta la panoramica dell'estrazione automatica.
Perfeziona l'estrazione e la mappatura UDM con le estensioni dell'analizzatore sintattico
Se i log sono in un formato diverso da JSON o XML o se hai bisogno di un controllo preciso su come i campi estratti vengono mappati a campi UDM specifici, devi utilizzare le estensioni del parser.
Le estensioni del parser forniscono un meccanismo efficace per modificare, estendere o sostituire la logica dei parser esistenti. Sono la scelta ideale quando devi:
- Mappa i campi che non vengono identificati automaticamente.
- Applica una logica personalizzata per riformattare i valori dei campi.
- Garantisci una normalizzazione accurata dei dati in base allo standard UDM.
Per saperne di più sull'implementazione delle estensioni del parser, vedi Estensioni del parser ed Esempi di estensioni del parser.
Crea un nuovo parser per una nuova origine log
Quando esegui l'onboarding di un'origine log completamente nuova, utilizza una di queste opzioni self-service, ordinate in base alla complessità:
Opzione 1: estrazione automatica (semplice):
L'estrazione automatica è il percorso consigliato e più semplice per i log strutturati (JSON/XML). Quando la nuova origine log è in un formato strutturato, l'estrazione automatica conferma che tutti i campi vengono analizzati immediatamente e sono pronti per l'importazione UDM con uno sforzo di configurazione minimo.
Per saperne di più sull'utilizzo di questa funzionalità, consulta la panoramica dell'estrazione automatica.
Opzione 2: analizzatore personalizzato completo (avanzato):
Questa opzione è più adatta per formati di log complessi o unici. Se i log sono complessi, non strutturati o richiedono pattern di espressioni regolari specifici per l'estrazione, puoi creare un parser personalizzato completo. In questo modo, ottieni la proprietà completa della logica del parser e puoi eseguire aggiornamenti e iterazioni istantanei.
Per saperne di più su come gestire i parser personalizzati completi, consulta Parser personalizzati.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.