Opções de analisador de autoatendimento
O modelo de dados unificado (UDM) da plataforma Google Security Operations oferece suporte abrangente para detecção de ameaças e normalização de dados. O Google SecOps desenvolve e atualiza ativamente analisadores pré-criados para muitos produtos comerciais. No entanto, um nível de serviço estrito rege solicitações personalizadas: a engenharia do Google processa solicitações de novos analisadores ou mapeamento de campo adicional em analisadores atuais da melhor maneira possível. Consulte e entenda os níveis de suporte do analisador para mais detalhes.
Para alcançar os melhores resultados, incluindo controle imediato sobre a ingestão de registros, tempo de retorno mais rápido e implantação instantânea de atualizações, aproveite as seguintes opções de autoatendimento.
Opções de autoatendimento recomendadas
| Caso de uso | Capacidade recomendada | Benefícios |
|---|---|---|
| Nova origem de registros (específica do locatário) | Tipos de registros personalizados | Integre rapidamente fluxos de dados exclusivos ou altamente personalizados sem precisar de revisão do Google. |
| Extrair campos adicionais (JSON/XML) | Extração automática | Identifique e extraia automaticamente novos campos de registros estruturados (JSON, XML) com configuração mínima. |
| Mapeamento personalizado da UDM ou não JSON/XML | Extensões de analisadores | Tenha controle granular e preciso sobre a lógica de extração e garanta que campos específicos sejam mapeados corretamente para a UDM para maximizar a eficácia da pesquisa e da detecção. |
| Criar um novo analisador completo | Opção A: extração automática ou Opção B: analisador personalizado completo | R:O caminho mais simples e rápido para registros estruturados. B:oferece propriedade completa e capacidade de atualização instantânea para registros complexos. |
Casos de uso detalhados para autoatendimento
Esta seção oferece cenários e orientações práticas para ajudar você a selecionar a ferramenta de autoatendimento mais eficaz para suas necessidades específicas de analisador ou ingestão de dados.
Tipos de registro personalizados para fontes somente de locatário
Se você precisar ingerir um novo tipo de registro, mesmo que o produto comercial seja conhecido, mas o formato do registro seja específico e destinado apenas ao uso no seu locatário, use o recurso de autoatendimento para Tipos de registros personalizados.
Essa abordagem permite registrar rapidamente seu formato de registro exclusivo no ambiente, sem precisar de um analisador global que exigiria uma revisão e implantação extensivas pelo Google.
Para mais informações sobre como criar um tipo de registro personalizado, consulte Tipos de registro personalizados.
Melhorar os analisadores atuais com a extração automática (JSON/XML)
Se você estiver usando um analisador de registros no formato JSON ou XML e quiser extrair outros campos que não estão sendo analisados, use a Extração automática.
A extração automática verifica dinamicamente seus registros estruturados para identificar campos não mapeados, permitindo enriquecer instantaneamente seus registros da UDM sem exigir mudanças de código no analisador de base.
Para mais informações sobre os recursos de extração automática, consulte a Visão geral da extração automática.
Ajustar a extração e o mapeamento do UDM com extensões de analisador
Se os registros estiverem em um formato diferente de JSON ou XML ou se você precisar de controle preciso sobre como os campos extraídos são mapeados para campos específicos da UDM, use as extensões do analisador.
As extensões de analisador oferecem um mecanismo eficiente para modificar, estender ou substituir a lógica dos analisadores atuais. Eles são a escolha ideal quando você precisa:
- Mapear campos que não são identificados automaticamente.
- Aplique uma lógica personalizada para reformatar os valores dos campos.
- Garanta a normalização precisa dos dados para o padrão UDM.
Para mais informações sobre como implementar extensões de analisador, consulte Extensões de analisador e Exemplos de extensões de analisador.
Criar um novo analisador para uma nova origem de registros
Ao integrar uma fonte de registros completamente nova, use uma destas opções de autoatendimento, ordenadas por complexidade:
Opção 1: extração automática (simples)
A extração automática é o caminho recomendado e mais direto para registros estruturados (JSON/XML). Quando a nova origem de registros está em um formato estruturado, a extração automática confirma que todos os campos são analisados imediatamente e estão prontos para ingestão de UDM com o mínimo de esforço de configuração.
Para mais informações sobre como usar esse recurso, consulte Visão geral da extração automática.
Opção 2: analisador personalizado completo (avançado)
Essa opção é mais adequada para formatos de registro complexos ou exclusivos. Se os registros forem complexos, não estruturados ou exigirem padrões de regex específicos para extração, você poderá criar um analisador personalizado completo por conta própria. Isso concede a você propriedade completa da lógica do analisador e permite atualizações e iterações instantâneas.
Para mais informações sobre como gerenciar analisadores personalizados completos, consulte Analisadores personalizados.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.