Community-Parser in GitHub verwenden

Unterstützt in:

Google Security Operations nutzt ein Open-Source-Repository auf GitHub, um die Zusammenarbeit von Community, Partnern und Kunden bei der Entwicklung und Wartung von Parsern zu ermöglichen. In diesem Repository können Community-Beiträge die verfügbaren Parser für Google SecOps erweitern und pflegen.

Ziele

  • Community-Beiträge aktivieren: Ermöglichen Sie externen Nutzern, Partnern und Kunden, neue und aktualisierte Community-Parser beizutragen.
  • Einführung erleichtern: Bieten Sie Nutzern eine Möglichkeit, Community-Parser in ihre benutzerdefinierten Parserinstanzen zu übernehmen.
  • Qualitätssicherung: Wir setzen auf ein strenges Prüf- und Testverfahren, um die Sicherheit und funktionale Qualität aller Beiträge vor der Veröffentlichung zu validieren.

Hinweis

Sie benötigen die Berechtigung chronicle.parsers.create, die Teil der IAM-Rolle chronicle.admin ist.

Repository-Struktur

Alle Parser sind im Content Hub-Bereich des GitHub-Repositorys im parsers/-Verzeichnis der obersten Ebene organisiert. Jede Logquelle hat ein eigenes Unterverzeichnis.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

Namenskonventionen für Ordner

Die Namenskonventionen für alle Unterverzeichnisse im third_party/community/parser-Repository sind streng definiert. Diese Standards sorgen für Systemkompatibilität, Auffindbarkeit für Kunden und die Einhaltung interner Google SecOps-Konventionen.

Community-Parser auf GitHub erstellen

Im folgenden Abschnitt wird beschrieben, wie Sie Community-Parser erstellen und verwalten.

Community-Parser suchen und herunterladen

  1. Rufen Sie den Ordner für den gewünschten Logtyp auf.
  2. Prüfen Sie die Datei metadata.json auf Referenzen zu den vom Parser unterstützten Logquellen.
  3. Laden Sie die Datei parser.conf herunter, die die zentrale Parserlogik in CBN-Syntax enthält.

Community-Parser in Google SecOps bereitstellen

Im folgenden Schritt wird beschrieben, wie Sie einen Community-Parser kopieren und in Ihre eigene benutzerdefinierte Parserinstanz konvertieren. Nach der Bereitstellung funktioniert der Parser als benutzerdefinierter Parser, den Sie verwalten.

  • Laden Sie in Ihrer Google SecOps-Instanz den Inhalt der heruntergeladenen parser.conf-Datei hoch oder fügen Sie ihn in die entsprechenden Felder auf der Seite Parser erstellen in den SIEM-Einstellungen ein.

Benutzerdefinierten Parser validieren

Nachdem Sie den Parser in Ihrer Google SecOps-Instanz bereitgestellt haben, werden automatisch integrierte benutzerdefinierte Parser-Validierungen ausgelöst, um nach potenziellen Pipelinefehlern oder Normalisierungsproblemen zu suchen. Wenn diese Validierungen fehlschlagen, müssen Sie die Parserlogik korrigieren oder Ihre Kopie des Parsers an Ihren spezifischen Anwendungsfall anpassen. Wir empfehlen Ihnen, Korrekturen oder Verbesserungen an das Community-Repository zurückzugeben und ein aktives Mitglied der Open-Source-Community zu werden.

Ausführliche Informationen zum Beitragen neuer Parser oder zum Aktualisieren vorhandener Parser in GitHub finden Sie in der GitHub-Parseranleitung.

Wenn bei der Integration Probleme auftreten, erstellen Sie einen Fall in GitHub.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten