Menerapkan parser komunitas di GitHub

Didukung di:

Google Security Operations menggunakan repositori open source di GitHub untuk memungkinkan kolaborasi komunitas, partner, dan pelanggan dalam pengembangan dan pemeliharaan parser. Repositori ini memungkinkan kontribusi komunitas memperluas dan mempertahankan kumpulan parser yang tersedia untuk Google SecOps.

Sasaran

  • Aktifkan kontribusi Komunitas: Izinkan pengguna, partner, dan pelanggan eksternal berkontribusi pada parser komunitas baru dan yang telah diupdate.
  • Memfasilitasi adopsi: Berikan mekanisme kepada pengguna untuk mengadopsi parser komunitas ke dalam instance parser kustom mereka.
  • Memastikan kualitas: Pertahankan kerangka kerja pengujian dan seleksi yang ketat untuk memvalidasi keamanan dan kualitas fungsional semua kontribusi sebelum rilis.

Sebelum memulai

  • Pastikan Anda memiliki izin chronicle.parsers.create yang merupakan bagian dari peran IAM chronicle.admin.
  • Untuk berkontribusi pada parser komunitas, tanda tangani Perjanjian Lisensi Kontributor (CLA). Untuk mengetahui detail selengkapnya, lihat Menandatangani Perjanjian Lisensi Kontributor kami.

Struktur repositori

Semua parser disusun dalam direktori parsers/ tingkat teratas di area Content Hub pada repositori GitHub. Setiap sumber log memiliki subdirektorinya sendiri.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

Konvensi penamaan folder

Konvensi penamaan folder untuk semua subdirektori dalam repositori third_party/community/parser ditentukan secara ketat. Standar ini memastikan kompatibilitas sistem, kemudahan penemuan bagi pelanggan, dan keselarasan dengan konvensi Google SecOps internal.

Membuat parser komunitas di GitHub

Bagian berikut menjelaskan cara membuat dan mengelola parser komunitas.

Menemukan dan mendownload parser komunitas

  1. Buka folder jenis log yang diperlukan.
  2. Tinjau file metadata.json untuk memeriksa referensi yang terkait dengan sumber log yang didukung oleh parser.
  3. Download file parser.conf yang berisi logika parser inti dalam sintaksis CBN.

Men-deploy parser komunitas di Google SecOps

Langkah berikut menjelaskan cara menyalin dan mengonversi parser komunitas menjadi instance parser kustom Anda sendiri. Setelah di-deploy, parser beroperasi sebagai parser kustom yang Anda kelola.

  • Di instance Google SecOps Anda, upload atau tempel konten file parser.conf yang didownload ke kolom yang sesuai di halaman Buat Parser di Setelan SIEM.

Memvalidasi parser kustom

Setelah Anda men-deploy parser di instance Google SecOps, validasi parser kustom bawaan akan otomatis dipicu untuk memeriksa potensi kegagalan pipeline atau masalah normalisasi. Jika validasi ini gagal, Anda harus memperbaiki logika parser atau mengubah salinan parser agar sesuai dengan kasus penggunaan spesifik Anda. Sebaiknya Anda memberikan kontribusi berupa koreksi atau peningkatan kembali ke repositori komunitas dan menjadi peserta aktif dalam komunitas open source.

Untuk mengetahui informasi mendetail tentang cara berkontribusi membuat parser baru atau memperbarui parser yang ada di GitHub, lihat petunjuk parser GitHub.

Jika Anda mengalami masalah dengan integrasi, buka kasus di GitHub. Parser komunitas tidak tercakup dalam Dukungan Google.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.