自助式剖析器選項
Google Security Operations 平台的統一資料模型 (UDM) 可全面支援威脅偵測和資料正規化。Google SecOps 會積極開發及更新許多商業產品的預建剖析器。不過,自訂要求受嚴格的服務層級規範:Google 工程團隊會盡力處理要求,為現有剖析器提供新的剖析器或額外欄位對應。 如需完整詳細資料,請務必詳閱並瞭解剖析器支援等級。
如要獲得最佳成效 (包括立即控管記錄擷取作業、縮短價值實現時間,以及即時部署更新),請善用下列自助式選項。
建議的自助式選項
| 用途 | 建議功能 | 好處 |
|---|---|---|
| 新記錄來源 (用戶群專屬) | 自訂記錄類型 | 快速導入獨特或高度自訂的資料串流,不必經過 Google 審查。 |
| 擷取其他欄位 (JSON/XML) | 自動擷取 | 自動從結構化記錄 (JSON、XML) 識別及擷取新欄位,設定作業簡單。 |
| 自訂 UDM 對應或非 JSON/XML | 剖析器擴充功能 | 精確控管擷取邏輯,確保特定欄位正確對應至 UDM,以發揮最大的搜尋和偵測效力。 |
| 建立全新的剖析器 | 選項 A:自動擷取,或選項 B:完整自訂剖析器 | A:結構化記錄最簡單快速的路徑。 B:讓您完全掌握複雜記錄,並即時更新。 |
自助服務的詳細使用案例
本節提供各種情境和實用指南,協助您根據特定的剖析器或資料擷取需求,選用最有效的自助式工具。
僅限租戶來源的自訂記錄類型
如需擷取新的記錄類型 (即使是知名商業產品),但記錄格式僅適用於您的租戶,請使用「自訂記錄類型」的自助式功能。
這個做法可讓您在環境中快速註冊專屬記錄格式,不必使用全域剖析器,省去 Google 大量審查和部署作業。
如要進一步瞭解如何建立自訂記錄類型,請參閱「自訂記錄類型」。
使用自動擷取功能 (JSON/XML) 強化現有剖析器
如果您使用現有的剖析器剖析 JSON 或 XML 格式的記錄,並想擷取目前未剖析的其他欄位,請使用「自動擷取」。
自動擷取功能會動態掃描結構化記錄,找出未對應的欄位,讓您立即擴充 UDM 記錄,不必變更基礎剖析器中的程式碼。
如要進一步瞭解自動擷取功能,請參閱「自動擷取總覽」。
使用剖析器擴充功能微調擷取作業和 UDM 對應
如果記錄的格式不是 JSON 或 XML,或是您需要精確控管擷取的欄位如何對應至特定 UDM 欄位,則應使用剖析器擴充功能。
剖析器擴充功能提供強大的機制,可修改、擴充或覆寫現有剖析器的邏輯。如果您需要執行下列操作,就非常適合選用這個佈建模式:
- 對應系統未自動識別的欄位。
- 套用自訂邏輯,重新格式化欄位值。
- 確保資料已根據 UDM 標準準確正規化。
如要進一步瞭解如何實作剖析器擴充功能,請參閱「剖析器擴充功能」和「剖析器擴充功能範例」。
為新的記錄檔來源建立新的剖析器
如要導入全新的記錄來源,請使用下列其中一個自助式選項 (依複雜程度排序):
選項 1:自動擷取 (簡單):
建議您使用自動擷取功能,這是處理結構化記錄 (JSON/XML) 最簡單直接的方法。如果新的記錄來源採用結構化格式,自動擷取功能會確認所有欄位都已立即剖析,並準備好以最少的設定工作量擷取至 UDM。
如要進一步瞭解如何使用這項功能,請參閱「自動擷取總覽」。
選項 2:完整自訂剖析器 (進階):
這個選項最適合複雜或獨特的記錄格式。如果記錄檔複雜、沒有結構,或需要特定規則運算式模式才能擷取,您可以自行建立完整的自訂剖析器。這會授予剖析器邏輯的完整擁有權,並允許即時更新和疊代。
如要進一步瞭解如何管理完整自訂剖析器,請參閱「自訂剖析器」一文。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。