Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utilizzare i parser della community in GitHub

Supportato in:

Google secops SIEM

Google Security Operations utilizza un repository open source su GitHub per consentire la collaborazione tra community, partner e clienti per lo sviluppo e la manutenzione dei parser. Questo repository consente ai contributi della community di espandere e mantenere il set di parser disponibili per Google SecOps.

Obiettivi

Abilitare i contributi della community: consentire a utenti esterni, partner e clienti di contribuire con parser della community nuovi e aggiornati.
Facilitare l'adozione: fornire agli utenti un meccanismo per adottare i parser della community nelle loro istanze di parser personalizzate.
Garantire la qualità: mantenere un framework di verifica e test rigoroso per convalidare la qualità funzionale e di sicurezza di tutti i contributi prima della release.

Prima di iniziare

Assicurati di disporre dell'autorizzazione chronicle.parsers.create, che fa parte del ruolo IAM chronicle.admin.
Per contribuire ai parser della community, firma un Contributor License Agreement (CLA). Per tutti i dettagli, consulta Firmare il Contributor License Agreement.

Struttura del repository

Tutti i parser sono organizzati nella directory di primo livello parsers/ nell'area Content Hub del repository GitHub. Ogni origine log ha la propria sottodirectory dedicata.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

Convenzioni di denominazione delle cartelle

Le convenzioni di denominazione delle cartelle per tutte le sottodirectory all'interno del repository third_party/community/parser sono definite in modo rigoroso. Questi standard garantiscono la compatibilità del sistema, la rilevabilità per i clienti e l'allineamento con le convenzioni interne di Google SecOps.

Creare un parser della community in GitHub

La sezione seguente descrive in dettaglio come creare e gestire i parser della community.

Individuare e scaricare i parser della community

Vai alla cartella del tipo di log richiesto.
Esamina il file metadata.json per verificare la presenza di riferimenti alle origini log supportate dal parser.
Scarica il file parser.conf che contiene la logica del parser principale nella sintassi CBN.

Eseguire il deployment dei parser della community in Google SecOps

Il passaggio seguente spiega come copiare e convertire un parser della community nella tua istanza di parser personalizzata. Una volta eseguito il deployment, il parser funziona come un parser personalizzato di cui ti occupi tu.

Nell'istanza di Google SecOps, carica o incolla i contenuti del file parser.confscaricato nei campi corrispondenti nella pagina Crea parser in Impostazioni SIEM.

Convalidare il parser personalizzato

Dopo aver eseguito il deployment del parser nell'istanza di Google SecOps, vengono attivate automaticamente le convalide del parser personalizzato integrate per verificare la presenza di potenziali errori della pipeline o problemi di normalizzazione. Se queste convalide non vanno a buon fine, devi correggere la logica del parser o modificare la copia del parser in modo che sia in linea con il tuo caso d'uso specifico. Ti invitiamo a contribuire con correzioni o miglioramenti al repository della community e a partecipare attivamente alla community open source.

Per informazioni dettagliate su come contribuire con nuovi parser o aggiornare quelli esistenti in GitHub, consulta le istruzioni per i parser di GitHub.

Se riscontri problemi con l'integrazione, apri una richiesta di assistenza in GitHub.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.