Implementa analizadores de la comunidad en GitHub

Compatible con:

Google Security Operations utiliza un repositorio de código abierto en GitHub para permitir la colaboración de la comunidad, los socios y los clientes para el desarrollo y el mantenimiento de analizadores. Este repositorio permite que las contribuciones de la comunidad expandan y mantengan el conjunto de analizadores disponibles para Google SecOps.

Objetivos

  • Habilitar las contribuciones de la comunidad: Permite que los usuarios externos, los socios y los clientes aporten analizadores de la comunidad nuevos y actualizados.
  • Facilitar la adopción: Proporciona a los usuarios un mecanismo para adoptar analizadores de la comunidad en sus instancias de analizadores personalizados.
  • Garantizar la calidad: Mantén un marco de pruebas y evaluación riguroso para validar la seguridad y la calidad funcional de todas las contribuciones antes del lanzamiento.

Antes de comenzar

  • Asegúrate de tener el permiso chronicle.parsers.create, que forma parte del rol de IAM chronicle.admin.
  • Para contribuir a los analizadores de la comunidad, firma un Contrato de Licencia para Colaboradores (CLA). Para obtener más detalles, consulta Firma nuestro Contrato de Licencia para Colaboradores.

Estructura del repositorio

Todos los analizadores están organizados dentro del directorio parsers/ de nivel superior en el área Content Hub del repositorio de GitHub. Cada fuente de registro tiene su propio subdirectorio dedicado.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

Convenciones de nomenclatura de carpetas

Las convenciones de nomenclatura de carpetas para todos los subdirectorios dentro del repositorio third_party/community/parser están estrictamente definidas. Estos estándares garantizan la compatibilidad del sistema, la capacidad de descubrimiento para los clientes y la alineación con las convenciones internas de Google SecOps.

Crea un analizador de la comunidad en GitHub

En la siguiente sección, se explica cómo crear y administrar analizadores de la comunidad.

Busca y descarga analizadores de la comunidad

  1. Navega a la carpeta del tipo de registro requerido.
  2. Revisa el archivo metadata.json para verificar las referencias relacionadas con las fuentes de registro compatibles con el analizador.
  3. Descarga el archivo parser.conf, que contiene la lógica principal del analizador en sintaxis CBN.

Implementa analizadores de la comunidad en Google SecOps

En el siguiente paso, se explica cómo copiar y convertir un analizador de la comunidad en tu propia instancia de analizador personalizado. Una vez implementado, el analizador funciona como un analizador personalizado que mantienes.

  • En tu instancia de Google SecOps, sube o pega el contenido del archivo parser.conf descargado en los campos correspondientes de la página Create Parser en SIEM Settings.

Valida el analizador personalizado

Después de implementar el analizador en tu instancia de Google SecOps, se activan automáticamente las validaciones de analizadores personalizados integradas para verificar si hay posibles fallas en la canalización o problemas de normalización. Si estas validaciones fallan, debes corregir la lógica del analizador o modificar tu copia del analizador para que se alinee con tu caso de uso específico. Te recomendamos que vuelvas a enviar las correcciones o mejoras al repositorio de la comunidad y te conviertas en un participante activo de la comunidad de código abierto.

Para obtener información detallada sobre cómo contribuir con analizadores nuevos o actualizar los existentes en GitHub, consulta las instrucciones del analizador de GitHub.

Si tienes algún problema con la integración, abre un caso en GitHub. Los analizadores de la comunidad no están cubiertos por la Atención al Cliente de Google.

¿Necesitas más ayuda? Obtén respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.