Utiliser des analyseurs de la communauté dans GitHub
Google Security Operations utilise un dépôt Open Source sur GitHub pour permettre la collaboration de la communauté, des partenaires et des clients pour le développement et la maintenance des analyseurs. Ce dépôt permet aux contributions de la communauté d'étendre et de maintenir l'ensemble des analyseurs disponibles pour Google SecOps.
Objectifs
- Activer les contributions de la communauté : permettre aux utilisateurs externes, aux partenaires et aux clients de contribuer à de nouveaux analyseurs de la communauté et de mettre à jour ceux qui existent déjà.
- Faciliter l'adoption : fournir aux utilisateurs un mécanisme pour adopter les analyseurs de la communauté dans leurs instances d'analyseurs personnalisés.
- Garantir la qualité : maintenir un cadre de validation et de test rigoureux pour valider la sécurité et la qualité fonctionnelle de toutes les contributions avant leur publication.
Avant de commencer
Assurez-vous de disposer de l'autorisation chronicle.parsers.create, qui fait partie du rôle IAM chronicle.admin.
Structure du dépôt
Tous les analyseurs sont organisés dans le répertoire parsers/ de premier niveau de la zone
Content Hub du dépôt GitHub. Chaque source de journaux possède son propre sous-répertoire dédié.
content-hub/
└── content/
└── parsers/
├── third_party/
│ ├── community/
│ │ ├── VENDOR1_PRODUCT1/cbn/
│ │ └── VENDOR2_PRODUCT2/cbn/
│ ├── partnerA/
│ │ └── VENDOR1_PRODUCT1/cbn/
│ └── partnerB/
│ └── VENDOR1_PRODUCT1/cbn/
...
Conventions de nommage des dossiers
Les conventions de nommage des dossiers pour tous les sous-répertoires du dépôt third_party/community/parser sont strictement définies. Ces normes garantissent la compatibilité du système, la détectabilité pour les clients et l'alignement sur les conventions internes de Google SecOps.
Créer un analyseur de la communauté dans GitHub
La section suivante explique comment créer et gérer des analyseurs de la communauté.
Rechercher et télécharger des analyseurs de la communauté
- Accédez au dossier du type de journal requis.
- Consultez le fichier
metadata.jsonpour vérifier les références liées aux sources de journaux compatibles avec l'analyseur. - Téléchargez le fichier
parser.confqui contient la logique de l'analyseur principal dans la syntaxe CBN.
Déployer des analyseurs de la communauté dans Google SecOps
L'étape suivante explique comment copier et convertir un analyseur de la communauté dans votre propre instance d'analyseur personnalisé. Une fois déployé, l'analyseur fonctionne comme un analyseur personnalisé que vous gérez.
- Dans votre instance Google SecOps, importez ou collez le contenu
du fichier téléchargé
parser.confdans les champs correspondants de la page Create Parser dans SIEM Settings.
Valider l'analyseur personnalisé
Une fois que vous avez déployé l'analyseur dans votre instance Google SecOps, les validations d'analyseurs personnalisés intégrées sont automatiquement déclenchées pour vérifier les éventuelles défaillances de pipeline ou les problèmes de normalisation. Si ces validations échouent, vous devez corriger la logique de l'analyseur ou modifier votre copie de l'analyseur pour l'adapter à votre cas d'utilisation spécifique. Nous vous encourageons à contribuer à la correction ou à l'amélioration du dépôt de la communauté et à devenir un participant actif de la communauté Open Source.
Pour obtenir des informations détaillées sur la contribution de nouveaux analyseurs ou la mise à jour de ceux qui existent déjà dans GitHub, consultez les instructions concernant les analyseurs GitHub.
Si vous rencontrez des problèmes avec l'intégration, ouvrez un ticket dans GitHub.
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.