Utilizzare i parser della community in GitHub
Google Security Operations utilizza un repository open source su GitHub per consentire la collaborazione di community, partner e clienti per lo sviluppo e la manutenzione dei parser. Questo repository consente ai contributi della community di espandere e mantenere il set di parser disponibili per Google SecOps.
Obiettivi
- Attiva i contributi della community: consenti a utenti esterni, partner e clienti di contribuire con parser della community nuovi e aggiornati.
- Facilitare l'adozione: fornire agli utenti un meccanismo per adottare i parser della community nelle proprie istanze di parser personalizzati.
- Garantisci la qualità: mantieni un rigoroso framework di verifica e test per convalidare la sicurezza e la qualità funzionale di tutti i contributi prima del rilascio.
Prima di iniziare
Assicurati di disporre dell'autorizzazione chronicle.parsers.create, che fa parte del ruolo IAM chronicle.admin.
Struttura del repository
Tutti i parser sono organizzati all'interno della directory parsers/ di primo livello nell'area Content Hub del repository GitHub. Ogni origine log ha la propria sottodirectory dedicata.
content-hub/
└── content/
└── parsers/
├── third_party/
│ ├── community/
│ │ ├── VENDOR1_PRODUCT1/cbn/
│ │ └── VENDOR2_PRODUCT2/cbn/
│ ├── partnerA/
│ │ └── VENDOR1_PRODUCT1/cbn/
│ └── partnerB/
│ └── VENDOR1_PRODUCT1/cbn/
...
Convenzioni di denominazione delle cartelle
Le convenzioni di denominazione delle cartelle per tutte le sottodirectory all'interno del repository third_party/community/parser sono definite in modo rigoroso. Questi standard garantiscono la compatibilità del sistema, la visibilità per i clienti e l'allineamento alle convenzioni interne di Google SecOps.
Creare un parser della community in GitHub
La sezione seguente descrive in dettaglio come creare e gestire i parser della community.
Individuare e scaricare i parser della community
- Vai alla cartella del tipo di log richiesto.
- Esamina il file
metadata.jsonper verificare la presenza di riferimenti alle origini log supportate dal parser. - Scarica il file
parser.confcontenente la logica di analisi principale nella sintassi CBN.
Esegui il deployment dei parser della community in Google SecOps
Il passaggio seguente spiega come copiare e convertire un parser della community nella tua istanza di parser personalizzato. Una volta eseguito il deployment, il parser funziona come un parser personalizzato che gestisci.
- Nella tua istanza Google SecOps, carica o incolla i contenuti
del file
parser.confscaricato nei campi corrispondenti della pagina Crea parser in Impostazioni SIEM.
Convalida il parser personalizzato
Dopo aver eseguito il deployment del parser nell'istanza Google SecOps, vengono attivate automaticamente le convalide del parser personalizzato integrate per verificare la presenza di potenziali errori della pipeline o problemi di normalizzazione. Se queste convalide non vanno a buon fine, devi correggere la logica del parser o modificare la tua copia del parser in modo che sia in linea con il tuo caso d'uso specifico. Ti invitiamo a contribuire con correzioni o miglioramenti al repository della community e a partecipare attivamente alla community open source.
Per informazioni dettagliate su come contribuire con nuovi parser o aggiornare quelli esistenti in GitHub, consulta le istruzioni per i parser di GitHub.
Se riscontri problemi con l'integrazione, apri una richiesta di assistenza su GitHub.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.