Utiliser les analyseurs de la communauté dans GitHub
Google Security Operations utilise un dépôt Open Source sur GitHub pour permettre la collaboration de la communauté, des partenaires et des clients pour le développement et la maintenance des analyseurs. Ce dépôt permet aux contributions de la communauté d'étendre et de gérer l'ensemble des analyseurs disponibles pour Google SecOps.
Objectifs
- Activez les contributions de la communauté : autorisez les utilisateurs externes, les partenaires et les clients à contribuer à la création et à la mise à jour des analyseurs de la communauté.
- Faciliter l'adoption : fournir aux utilisateurs un mécanisme permettant d'adopter des analyseurs de communauté dans leurs instances d'analyseurs personnalisés.
- Garantir la qualité : nous disposons d'un cadre rigoureux de vérification et de test pour valider la sécurité et la qualité fonctionnelle de toutes les contributions avant leur publication.
Avant de commencer
- Assurez-vous de disposer de l'autorisation
chronicle.parsers.create, qui fait partie du rôle IAMchronicle.admin. - Pour contribuer aux analyseurs de la communauté, signez un contrat de licence du contributeur (CLA). Pour en savoir plus, consultez Signer notre Contributor License Agreement.
Structure du dépôt
Tous les analyseurs sont organisés dans le répertoire de premier niveau parsers/ de la section "Content Hub" du dépôt GitHub. Chaque source de journaux possède son propre sous-répertoire.
content-hub/
└── content/
└── parsers/
├── third_party/
│ ├── community/
│ │ ├── VENDOR1_PRODUCT1/cbn/
│ │ └── VENDOR2_PRODUCT2/cbn/
│ ├── partnerA/
│ │ └── VENDOR1_PRODUCT1/cbn/
│ └── partnerB/
│ └── VENDOR1_PRODUCT1/cbn/
...
Conventions de dénomination des dossiers
Les conventions de dénomination des dossiers pour tous les sous-répertoires du dépôt third_party/community/parser sont strictement définies. Ces normes garantissent la compatibilité du système, la visibilité pour les clients et l'alignement sur les conventions internes de Google SecOps.
Créer un analyseur de communauté dans GitHub
La section suivante explique comment créer et gérer des analyseurs de communauté.
Rechercher et télécharger des analyseurs de communauté
- Accédez au dossier du type de journal requis.
- Examinez le fichier
metadata.jsonpour vérifier les références liées aux sources de journaux compatibles avec l'analyseur. - Téléchargez le fichier
parser.confqui contient la logique du parseur principal dans la syntaxe CBN.
Déployer des analyseurs de communauté dans Google SecOps
L'étape suivante explique comment copier et convertir un analyseur de communauté en votre propre instance d'analyseur personnalisé. Une fois déployé, l'analyseur fonctionne comme un analyseur personnalisé que vous gérez.
- Dans votre instance Google SecOps, importez ou collez le contenu du fichier
parser.conftéléchargé dans les champs correspondants de la page Créer un analyseur dans Paramètres SIEM.
Valider l'analyseur personnalisé
Une fois l'analyseur déployé dans votre instance Google SecOps, des validations d'analyseur personnalisé intégrées sont automatiquement déclenchées pour vérifier les éventuelles défaillances de pipeline ou les problèmes de normalisation. Si ces validations échouent, vous devez corriger la logique de l'analyseur ou modifier votre copie de l'analyseur pour l'adapter à votre cas d'utilisation spécifique. Nous vous encourageons à partager vos corrections ou améliorations dans le dépôt de la communauté et à participer activement à la communauté Open Source.
Pour en savoir plus sur l'ajout de nouveaux analyseurs ou la mise à jour de ceux existants dans GitHub, consultez les instructions concernant les analyseurs GitHub.
Si vous rencontrez des problèmes avec l'intégration, ouvrez une demande sur GitHub.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.