Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

עבודה עם מנתחי קוד של הקהילה ב-GitHub

נתמך ב:

Google secops SIEM

‫Google Security Operations משתמש במאגר קוד פתוח ב-GitHub כדי לאפשר שיתוף פעולה בין הקהילה, השותפים והלקוחות בפיתוח ובשמירה של מנתחי נתונים. המאגר הזה מאפשר לקהילה להרחיב ולתחזק את קבוצת מנתחי הנתונים שזמינים ל-Google SecOps.

מטרות עסקיות

הפעלת תרומות לקהילה: מאפשרת למשתמשים חיצוניים, לשותפים וללקוחות לתרום מנתחי נתונים חדשים ומעודכנים לקהילה.
הקלה על ההטמעה: מספקים למשתמשים מנגנון להטמעת מנתחי קהילה במופעים של מנתחים מותאמים אישית.
שמירה על איכות: חשוב לשמור על מסגרת קפדנית של בדיקות וסינון כדי לוודא את האיכות הפונקציונלית והאבטחה של כל התוספים לפני הפרסום.

לפני שמתחילים

מוודאים שיש לכם הרשאה מסוג chronicle.parsers.create, שהיא חלק מתפקיד IAM מסוג chronicle.admin.
כדי לתרום למנתחי קוד של הקהילה, צריך לחתום על הסכם רישיון לתורמים (CLA). פרטים מלאים זמינים במאמר בנושא חתימה על הסכם הרישיון לתורמים.

מבנה המאגר

כל מנתחי התוכן מאורגנים בספרייה parsers/ ברמה העליונה באזור Content Hub במאגר GitHub. לכל מקור יומן יש ספריית משנה ייעודית משלו.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

מוסכמות למתן שמות לתיקיות

מוסכמות מתן השמות לתיקיות של כל תיקיות המשנה במאגר third_party/community/parser מוגדרות באופן קפדני. התקנים האלה מבטיחים תאימות של המערכת, גילוי על ידי הלקוחות והתאמה למוסכמות הפנימיות של Google SecOps.

יצירת מנתח קהילה ב-GitHub

בקטע הבא מוסבר איך ליצור ולנהל מנתחי קהילות.

איתור והורדה של מנתחי קהילה

עוברים לתיקייה של סוג היומן הרצוי.
בודקים את קובץ metadata.json כדי לראות אם יש הפניות שקשורות למקורות היומן שנתמכים על ידי כלי הניתוח.
מורידים את הקובץ parser.conf שמכיל את הלוגיקה הבסיסית של מנתח התוכן בתחביר CBN.

פריסת מנתחי קהילה ב-Google SecOps

בשלב הבא מוסבר איך להעתיק מנתח קהילתי ולהמיר אותו למופע מותאם אישית של מנתח משלכם. אחרי הפריסה, המנתח פועל כמנתח מותאם אישית שאתם מתחזקים.

במופע של Google SecOps, מעלים או מדביקים את התוכן של קובץ parser.conf שהורד בשדות המתאימים בדף Create Parser בSIEM Settings.

אימות של מנתח מותאם אישית

אחרי שפורסים את מנתח התוכן במופע Google SecOps, מופעלות אוטומטית בדיקות מובנות של מנתח התוכן המותאם אישית כדי לבדוק אם יש בעיות פוטנציאליות בצינור או בנורמליזציה. אם האימותים האלה נכשלים, צריך לתקן את הלוגיקה של כלי הניתוח או לשנות את העותק של כלי הניתוח כך שיתאים לתרחיש השימוש הספציפי שלכם. מומלץ לתרום תיקונים או שיפורים למאגר הקהילתי ולהפוך למשתתפים פעילים בקהילת הקוד הפתוח.

למידע מפורט על שליחת מנתחי נתונים חדשים או עדכון של מנתחי נתונים קיימים ב-GitHub, אפשר לעיין בהוראות בנושא מנתחי נתונים ב-GitHub.

אם נתקלתם בבעיות בשילוב, פתחו פנייה ב-GitHub. צוות התמיכה של Google לא מספק תמיכה במנתחי הנתונים של הקהילה.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.