셀프 서비스 파서 옵션

Google Security Operations 플랫폼의 통합 데이터 모델 (UDM)은 위협 감지 및 데이터 정규화를 위한 포괄적인 지원을 제공합니다. Google SecOps는 다양한 상업용 제품을 위한 사전 빌드된 파서를 적극적으로 개발하고 업데이트합니다. 하지만 엄격한 서비스 수준이 맞춤 요청에 적용됩니다. Google 엔지니어링에서는 최선을 다해 새 파서 또는 기존 파서의 추가 필드 매핑 요청을 처리합니다. 자세한 내용은 파서 지원 수준을 검토하고 이해해야 합니다.

로그 수집을 즉시 제어하고, 가치 실현 시간을 단축하고, 업데이트를 즉시 배포하는 등 최상의 결과를 얻으려면 다음 셀프 서비스 옵션을 활용해야 합니다.

권장 셀프 서비스 옵션

셀프 서비스의 상세 사용 사례

이 섹션에서는 특정 파서 또는 데이터 수집 요구사항에 가장 효과적인 셀프 서비스 도구를 선택하는 데 도움이 되는 시나리오와 실용적인 가이드를 제공합니다.

테넌트 전용 소스의 맞춤 로그 유형

상업용 제품이 잘 알려져 있더라도 새 로그 유형을 수집해야 하지만 로그 형식이 특정하고 테넌트 내에서만 사용하도록 설계된 경우 맞춤 로그 유형의 셀프 서비스 기능을 사용해야 합니다.

이 접근 방식을 사용하면 Google에서 광범위한 검토와 배포가 필요한 전역 파서가 필요 없이 환경 내에서 고유한 로그 형식을 빠르게 등록할 수 있습니다.

커스텀 로그 유형을 만드는 방법에 대한 자세한 내용은 커스텀 로그 유형을 참고하세요.

자동 추출 (JSON/XML)로 기존 파서 개선

JSON 또는 XML 형식의 로그에 기존 파서를 사용하고 있으며 현재 파싱되지 않는 추가 필드를 추출하려면 자동 추출을 사용해야 합니다.

자동 추출은 구조화된 로그를 동적으로 스캔하여 매핑되지 않은 필드를 식별하므로 기본 파서의 코드를 변경하지 않고도 UDM 레코드를 즉시 보강할 수 있습니다.

자동 추출 기능에 대한 자세한 내용은 자동 추출 개요를 참고하세요.

파서 확장 프로그램으로 추출 및 UDM 매핑 미세 조정

로그가 JSON 또는 XML과 다른 형식인 경우 또는 추출된 필드가 특정 UDM 필드에 매핑되는 방식을 정확하게 제어해야 하는 경우 파서 확장 프로그램을 활용해야 합니다.

파서 확장 프로그램은 기존 파서의 로직을 수정, 확장 또는 재정의하는 강력한 메커니즘을 제공합니다. 다음과 같은 경우에 적합합니다.

• 자동으로 식별되지 않는 필드를 매핑합니다.
• 맞춤 로직을 적용하여 필드 값을 다시 포맷합니다.
• UDM 표준에 대한 정확한 데이터 정규화를 보장합니다.

파서 확장 프로그램 구현에 관한 자세한 내용은 파서 확장 프로그램 및 파서 확장 프로그램 예를 참고하세요.

새 로그 소스용 파서 새로 만들기

완전히 새로운 로그 소스를 온보딩하는 경우 복잡도 순으로 정렬된 다음 셀프 서비스 옵션 중 하나를 사용하세요.

• 옵션 1: 자동 추출 (간단):

  자동 추출은 구조화된 로그 (JSON/XML)에 권장되는 가장 간단한 방법입니다. 새 로그 소스가 구조화된 형식인 경우 자동 추출을 통해 모든 필드가 즉시 파싱되고 최소한의 구성 노력으로 UDM 수집을 준비할 수 있습니다.

  이 기능을 사용하는 방법에 관한 자세한 내용은 자동 추출 개요를 참고하세요.

• 옵션 2: 완전 맞춤 파서 (고급):

  이 옵션은 복잡하거나 고유한 로그 형식에 가장 적합합니다. 로그가 복잡하거나 구조화되지 않았거나 추출을 위해 특정 정규 표현식 패턴이 필요한 경우 직접 완전한 맞춤 파서를 만들 수 있습니다. 이렇게 하면 파서 로직을 완전히 소유할 수 있으며 즉시 업데이트하고 반복할 수 있습니다.

  전체 맞춤 파서를 관리하는 방법에 대한 자세한 내용은 맞춤 파서를 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.