セルフサービス パーサー オプション

Google Security Operations プラットフォームの統合データモデル（UDM）は、脅威の検出とデータの正規化を包括的にサポートします。Google SecOps は、多くの商用プロダクト向けに事前構築済みパーサーを積極的に開発、更新しています。ただし、カスタム リクエストには厳格なサービスレベルが適用されます。Google エンジニアリングは、新しいパーサーのリクエストや既存のパーサーでの追加のフィールド マッピングのリクエストをベスト エフォート ベースで処理します。詳細については、パーサーのサポートレベルを確認してください。

ログの取り込みの即時制御、価値実現までの時間の短縮、更新の即時デプロイなど、最良の結果を得るには、次のセルフサービス オプションを活用する必要があります。

おすすめのセルフサービス オプション

セルフサービスの詳細なユースケース

このセクションでは、特定のパーサーまたはデータ取り込みのニーズに最も効果的なセルフサービス ツールを選択するのに役立つシナリオと実践的なガイダンスを提供します。

テナント専用ソースのカスタム ログタイプ

新しいログタイプを取り込む必要がある場合（商用製品がよく知られている場合でも）、ログ形式がテナント内での使用のみを目的とした特定のものである場合は、カスタム ログタイプのセルフサービス機能を使用する必要があります。

このアプローチにより、環境内で独自のログ形式をすばやく登録できます。Google による広範な審査とデプロイが必要なグローバル パーサーは不要になります。

カスタム ログタイプの作成方法については、カスタム ログタイプをご覧ください。

自動抽出（JSON/XML）で既存のパーサーを強化する

JSON 形式または XML 形式のログに既存のパーサーを使用しており、現在解析されていない追加のフィールドを抽出する場合は、自動抽出を使用する必要があります。

自動抽出は、構造化ログを動的にスキャンしてマッピングされていないフィールドを特定します。これにより、ベース パーサーのコードを変更することなく、UDM レコードを即座に拡充できます。

自動抽出機能の詳細については、自動抽出の概要をご覧ください。

パーサー拡張機能を使用して抽出と UDM マッピングを微調整する

ログが JSON または XML と異なる形式の場合、または抽出されたフィールドを特定の UDM フィールドにマッピングする方法を正確に制御する必要がある場合は、パーサー拡張機能を使用する必要があります。

パーサー拡張機能は、既存のパーサーのロジックを変更、拡張、オーバーライドするための強力なメカニズムを提供します。次のような場合に最適です。

• 自動的に識別されないフィールドをマッピングします。
• カスタム ロジックを適用して、フィールド値を再フォーマットします。
• UDM 標準への正確なデータ正規化を保証します。

パーサー拡張機能の実装の詳細については、パーサー拡張機能とパーサー拡張機能の例をご覧ください。

新しいログソースの新しいパーサーを作成する

まったく新しいログソースをオンボーディングする場合は、次のセルフサービス オプションのいずれかを使用します（複雑さの順に並んでいます）。

• オプション 1: 自動抽出（シンプル）:

  自動抽出は、構造化ログ（JSON/XML）に推奨される最も簡単な方法です。新しいログソースが構造化された形式の場合、自動抽出により、すべてのフィールドがすぐに解析され、最小限の構成で UDM 取り込みの準備が整っていることが確認されます。

  この機能の使用方法について詳しくは、自動抽出の概要をご覧ください。

• オプション 2: 完全なカスタム パーサー（高度な設定）:

  このオプションは、複雑なログ形式や独自のログ形式に最適です。ログが複雑で構造化されていない場合や、抽出に特定の正規表現パターンが必要な場合は、独自のカスタム パーサーを完全に作成できます。これにより、パーサー ロジックの完全な所有権が付与され、即時の更新と反復が可能になります。

  完全なカスタム パーサーの管理方法については、カスタム パーサーをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。