Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menggunakan parser komunitas di GitHub

Didukung di:

Google secops SIEM

Google Security Operations menggunakan repositori open source di GitHub untuk memungkinkan kolaborasi komunitas, partner, dan pelanggan dalam pengembangan dan pemeliharaan parser. Repositori ini memungkinkan kontribusi komunitas memperluas dan mempertahankan kumpulan parser yang tersedia untuk Google SecOps.

Sasaran

Mengaktifkan kontribusi Komunitas: Mengizinkan pengguna eksternal, partner, dan pelanggan berkontribusi dengan parser komunitas baru dan yang diupdate.
Memfasilitasi adopsi: Memberikan mekanisme kepada pengguna untuk mengadopsi parser komunitas ke dalam instance parser kustom mereka.
Memastikan kualitas: Mempertahankan kerangka kerja pengujian dan pemeriksaan yang ketat untuk memvalidasi kualitas fungsional dan keamanan semua kontribusi sebelum dirilis.

Sebelum memulai

Pastikan Anda memiliki izin chronicle.parsers.create yang merupakan bagian dari peran IAM chronicle.admin.
Untuk berkontribusi pada parser komunitas, tanda tangani Perjanjian Lisensi Kontributor (CLA). Untuk mengetahui detail selengkapnya, lihat Menandatangani Perjanjian Lisensi Kontributor kami.

Struktur repositori

Semua parser diatur dalam direktori tingkat atas parsers/ di area Content Hub repositori GitHub. Setiap sumber log memiliki subdirektorinya sendiri.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

Konvensi penamaan folder

Konvensi penamaan folder untuk semua subdirektori dalam repositori third_party/community/parser ditentukan secara ketat. Standar ini memastikan kompatibilitas sistem, kemudahan penemuan bagi pelanggan, dan keselarasan dengan konvensi Google SecOps internal.

Membuat parser komunitas di GitHub

Bagian berikut menjelaskan cara membuat dan mengelola parser komunitas.

Menemukan dan mendownload parser komunitas

Buka folder jenis log yang diperlukan.
Tinjau file metadata.json untuk memeriksa referensi yang terkait dengan sumber log yang didukung oleh parser.
Download file parser.conf yang berisi logika parser inti dalam sintaksis CBN.

Men-deploy parser komunitas di Google SecOps

Langkah berikut menjelaskan cara menyalin dan mengonversi parser komunitas ke dalam instance parser kustom Anda sendiri. Setelah di-deploy, parser akan beroperasi sebagai parser kustom yang Anda pertahankan.

Di instance Google SecOps Anda, upload atau tempelkan konten file yang didownload parser.conf ke dalam kolom yang sesuai di halaman Create Parser di SIEM Settings.

Memvalidasi parser kustom

Setelah Anda men-deploy parser di instance Google SecOps, validasi parser kustom bawaan akan otomatis dipicu untuk memeriksa potensi kegagalan pipeline atau masalah normalisasi. Jika validasi ini gagal, Anda harus memperbaiki logika parser atau mengubah salinan parser agar selaras dengan kasus penggunaan spesifik Anda. Sebaiknya kontribusikan koreksi atau peningkatan kembali ke repositori komunitas dan jadilah peserta aktif dalam komunitas open source.

Untuk mengetahui informasi mendetail tentang cara berkontribusi dengan parser baru atau mengupdate parser yang ada di GitHub, lihat petunjuk parser GitHub.

Jika Anda mengalami masalah dengan integrasi, buka kasus di GitHub.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.