Bekerja dengan parser komunitas di GitHub

Didukung di:

Google Security Operations menggunakan repositori open source di GitHub untuk memungkinkan kolaborasi komunitas, partner, dan pelanggan dalam pengembangan dan pemeliharaan parser. Repositori ini memungkinkan kontribusi komunitas memperluas dan mempertahankan kumpulan parser yang tersedia untuk Google SecOps.

Sasaran

  • Aktifkan kontribusi Komunitas: Izinkan pengguna eksternal, partner, dan pelanggan berkontribusi pada parser komunitas baru dan yang telah diupdate.
  • Memfasilitasi adopsi: Berikan mekanisme kepada pengguna untuk mengadopsi parser komunitas ke dalam instance parser kustom mereka.
  • Memastikan kualitas: Pertahankan framework pengujian dan seleksi yang ketat untuk memvalidasi keamanan dan kualitas fungsional semua kontribusi sebelum rilis.

Sebelum memulai

Pastikan Anda memiliki izin chronicle.parsers.create yang merupakan bagian dari peran IAM chronicle.admin.

Struktur repositori

Semua parser disusun dalam direktori parsers/ tingkat teratas di area Content Hub pada repositori GitHub. Setiap sumber log memiliki subdirektorinya sendiri.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

Konvensi penamaan folder

Konvensi penamaan folder untuk semua subdirektori dalam repositori third_party/community/parser ditentukan secara ketat. Standar ini memastikan kompatibilitas sistem, kemudahan penemuan bagi pelanggan, dan keselarasan dengan konvensi Google SecOps internal.

Membuat parser komunitas di GitHub

Bagian berikut menjelaskan cara membuat dan mengelola parser komunitas.

Menemukan dan mendownload parser komunitas

  1. Buka folder jenis log yang diperlukan.
  2. Tinjau file metadata.json untuk memeriksa referensi yang terkait dengan sumber log yang didukung oleh parser.
  3. Download file parser.conf yang berisi logika parser inti dalam sintaksis CBN.

Men-deploy parser komunitas di Google SecOps

Langkah berikut menjelaskan cara menyalin dan mengonversi parser komunitas menjadi instance parser kustom Anda sendiri. Setelah di-deploy, parser beroperasi sebagai parser kustom yang Anda kelola.

  • Di instance Google SecOps Anda, upload atau tempel konten file parser.conf yang didownload ke kolom yang sesuai di halaman Buat Parser di Setelan SIEM.

Memvalidasi parser kustom

Setelah Anda men-deploy parser di instance Google SecOps, validasi parser kustom bawaan akan otomatis dipicu untuk memeriksa potensi kegagalan pipeline atau masalah normalisasi. Jika validasi ini gagal, Anda harus memperbaiki logika parser atau mengubah salinan parser agar sesuai dengan kasus penggunaan spesifik Anda. Sebaiknya Anda memberikan kontribusi perbaikan atau peningkatan kembali ke repositori komunitas dan menjadi peserta aktif dalam komunitas open source.

Untuk mengetahui informasi mendetail tentang cara berkontribusi membuat parser baru atau memperbarui parser yang ada di GitHub, lihat petunjuk parser GitHub.

Jika Anda mengalami masalah dengan integrasi, buka kasus di GitHub.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.