Opções de análise self-service
O modelo de dados unificados (UDM) da plataforma Google Security Operations oferece suporte abrangente para a deteção de ameaças e a normalização de dados. O Google SecOps desenvolve e atualiza ativamente analisadores pré-criados para muitos produtos comerciais. No entanto, um nível de serviço rigoroso rege os pedidos personalizados: a equipa de engenharia da Google processa os pedidos de novos analisadores ou mapeamento de campos adicionais em analisadores existentes com base no melhor esforço possível. Tem de rever e compreender os níveis de apoio técnico do analisador para ver os detalhes completos.
Para alcançar os melhores resultados, incluindo o controlo imediato da carregamento de registos, um tempo de rentabilização mais rápido e a implementação instantânea de atualizações, tem de tirar partido das seguintes opções de autosserviço.
Opções self-service recomendadas
| Exemplo de utilização | Capacidade recomendada | Vantagens |
|---|---|---|
| Nova origem de registos (específica do inquilino) | Tipos de registos personalizados | Integre rapidamente streams de dados únicas ou altamente personalizadas sem necessitar de revisão da Google. |
| Extrair campos adicionais (JSON/XML) | Extração automática | Identifique e extraia automaticamente novos campos de registos estruturados (JSON, XML) com uma configuração mínima. |
| Mapeamento de UDM personalizado ou não JSON/XML | Extensões do analisador | Obtenha um controlo detalhado e preciso sobre a lógica de extração e garanta que os campos específicos são mapeados corretamente para o UDM para maximizar a eficácia da pesquisa e da deteção. |
| Criar um analisador totalmente novo | Opção A: extração automática ou Opção B: analisador personalizado completo | A: O caminho mais simples e rápido para registos estruturados. B: Dá-lhe a propriedade completa e a capacidade de atualização instantânea de registos complexos. |
Exemplos de utilização detalhados para o self-service
Esta secção apresenta cenários e orientações práticas para ajudar a selecionar a ferramenta self-service mais eficaz para as suas necessidades específicas de análise sintática ou carregamento de dados.
Tipos de registos personalizados para origens apenas de inquilinos
Se precisar de carregar um novo tipo de registo, mesmo que o produto comercial seja conhecido, mas o formato de registo seja específico e destinado apenas a utilização no seu inquilino, deve usar a capacidade self-service para tipos de registos personalizados.
Esta abordagem permite-lhe registar rapidamente o seu formato de registo exclusivo no seu ambiente, ignorando a necessidade de um analisador global que exigiria uma revisão e uma implementação extensivas por parte da Google.
Para mais informações sobre como criar um tipo de registo personalizado, consulte o artigo Tipos de registos personalizados.
Melhore os analisadores existentes com a extração automática (JSON/XML)
Se estiver a usar um analisador existente para registos no formato JSON ou XML e quiser extrair campos adicionais que não estão a ser analisados atualmente, deve usar a extração automática.
A extração automática analisa dinamicamente os registos estruturados para identificar campos não mapeados, o que lhe permite enriquecer instantaneamente os registos do UDM sem exigir alterações de código ao analisador base.
Para mais informações sobre as capacidades de extração automática, consulte a vista geral da extração automática.
Ajuste a extração e o mapeamento de UDM com extensões de análise
Se os seus registos estiverem num formato diferente de JSON ou XML, ou se precisar de um controlo preciso sobre como os campos extraídos são mapeados para campos UDM específicos, deve usar extensões de análise.
As extensões de análise sintática oferecem um mecanismo eficaz para modificar, expandir ou substituir a lógica dos analisadores sintáticos existentes. São a escolha ideal quando precisa de:
- Mapeie campos que não são identificados automaticamente.
- Aplicar lógica personalizada para reformatar os valores dos campos.
- Garantir a normalização precisa dos dados para a norma da UDM.
Para mais informações sobre a implementação de extensões do analisador, consulte os artigos Extensões do analisador e Exemplos de extensões do analisador.
Crie um novo analisador para uma nova origem de registos
Quando estiver a integrar uma origem de registos completamente nova, use uma destas opções de autosserviço, ordenadas por complexidade:
Opção 1: extração automática (simples):
A extração automática é o caminho recomendado e mais direto para registos estruturados (JSON/XML). Quando a nova origem de registos está num formato estruturado, a extração automática confirma que todos os campos são analisados imediatamente e estão prontos para carregamento do UDM com o mínimo de esforço de configuração.
Para mais informações sobre a utilização desta capacidade, consulte o artigo Vista geral da extração automática.
Opção 2: analisador personalizado completo (avançado):
Esta opção é mais adequada para formatos de registo complexos ou únicos. Se os registos forem complexos, não estruturados ou exigirem padrões de regex específicos para extração, pode criar um analisador personalizado completo por si. Isto concede-lhe a propriedade completa da lógica do analisador e permite atualizações e iterações instantâneas.
Para mais informações sobre como gerir analisadores personalizados completos, consulte o artigo Analisadores personalizados.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.