Trabaja con analizadores de la comunidad en GitHub
Las Operaciones de seguridad de Google utilizan un repositorio de código abierto en GitHub para permitir la colaboración de la comunidad, los socios y los clientes en el desarrollo y el mantenimiento de analizadores. Este repositorio permite que las contribuciones de la comunidad expandan y mantengan el conjunto disponible de analizadores para Google SecOps.
Objetivos
- Habilita las contribuciones de la comunidad: Permite que los usuarios, socios y clientes externos contribuyan con analizadores de comunidad nuevos y actualizados.
- Facilita la adopción: Proporciona a los usuarios un mecanismo para adoptar analizadores de comunidad en sus instancias de analizador personalizadas.
- Garantizar la calidad: Mantener un marco de trabajo riguroso de verificación y pruebas para validar la seguridad y la calidad funcional de todas las contribuciones antes del lanzamiento
Antes de comenzar
Asegúrate de tener el permiso chronicle.parsers.create, que forma parte del rol de IAM chronicle.admin.
Estructura del repositorio
Todos los analizadores están organizados dentro del directorio parsers/ de nivel superior en el área de Content Hub del repositorio de GitHub. Cada fuente de registro tiene su propio subdirectorio dedicado.
content-hub/
└── content/
└── parsers/
├── third_party/
│ ├── community/
│ │ ├── VENDOR1_PRODUCT1/cbn/
│ │ └── VENDOR2_PRODUCT2/cbn/
│ ├── partnerA/
│ │ └── VENDOR1_PRODUCT1/cbn/
│ └── partnerB/
│ └── VENDOR1_PRODUCT1/cbn/
...
Convenciones de nomenclatura de carpetas
Las convenciones de nomenclatura de carpetas para todos los subdirectorios dentro del repositorio third_party/community/parser están estrictamente definidas. Estos estándares garantizan la compatibilidad del sistema, la visibilidad para los clientes y la alineación con las convenciones internas de Google SecOps.
Crea un analizador de comunidad en GitHub
En la siguiente sección, se detalla cómo crear y administrar analizadores de la comunidad.
Cómo ubicar y descargar analizadores de la comunidad
- Navega a la carpeta del tipo de registro requerido.
- Revisa el archivo
metadata.jsonpara verificar si hay referencias relacionadas con las fuentes de registro que admite el analizador. - Descarga el archivo
parser.confque contiene la lógica principal del analizador en la sintaxis de CBN.
Implementa analizadores de comunidad en Google SecOps
En el siguiente paso, se explica cómo copiar y convertir un analizador de la comunidad en tu propia instancia de analizador personalizado. Una vez implementado, el analizador funciona como un analizador personalizado que tú mantienes.
- En tu instancia de Google SecOps, sube o pega el contenido del archivo
parser.confdescargado en los campos correspondientes de la página Create Parser en SIEM Settings.
Valida el analizador personalizado
Después de implementar el analizador en tu instancia de Google SecOps, se activan automáticamente las validaciones integradas del analizador personalizado para verificar si hay posibles fallas en la canalización o problemas de normalización. Si estas validaciones fallan, debes corregir la lógica del analizador o modificar tu copia del analizador para que se alinee con tu caso de uso específico. Te recomendamos que envíes correcciones o mejoras al repositorio de la comunidad y que participes activamente en la comunidad de código abierto.
Para obtener información detallada sobre cómo contribuir con nuevos analizadores o actualizar los existentes en GitHub, consulta las instrucciones del analizador de GitHub.
Si tienes algún problema con la integración, abre un caso en GitHub.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.