GitHub에서 커뮤니티 파서 사용
Google Security Operations는 오픈소스 GitHub 저장소를 활용하여 파서 개발 및 유지보수를 위한 커뮤니티, 파트너, 고객의 공동작업을 지원합니다. 이 저장소를 통해 커뮤니티 기여로 Google SecOps에서 사용할 수 있는 파서 집합을 확장하고 유지할 수 있습니다.
목표
- 커뮤니티 참여 사용 설정: 외부 사용자, 파트너, 고객이 신규 및 업데이트된 커뮤니티 파서를 제공할 수 있도록 허용합니다.
- 채택 촉진: 사용자가 커뮤니티 파서를 맞춤 파서 인스턴스에 채택할 수 있는 메커니즘을 제공합니다.
- 품질 보장: 출시 전에 모든 기여의 보안 및 기능 품질을 검증하기 위해 엄격한 심사 및 테스트 프레임워크를 유지합니다.
시작하기 전에
chronicle.admin IAM 역할에 포함된 chronicle.parsers.create 권한이 있는지 확인합니다.
저장소 구조
모든 파서는 GitHub 저장소의 콘텐츠 허브 영역에 있는 최상위 parsers/ 디렉터리 내에 구성됩니다. 각 로그 소스에는 전용 하위 디렉터리가 있습니다.
content-hub/
└── content/
└── parsers/
├── third_party/
│ ├── community/
│ │ ├── VENDOR1_PRODUCT1/cbn/
│ │ └── VENDOR2_PRODUCT2/cbn/
│ ├── partnerA/
│ │ └── VENDOR1_PRODUCT1/cbn/
│ └── partnerB/
│ └── VENDOR1_PRODUCT1/cbn/
...
폴더 이름 지정 규칙
third_party/community/parser 저장소 내 모든 하위 디렉터리의 폴더 명명 규칙은 엄격하게 정의되어 있습니다. 이러한 표준은 시스템 호환성, 고객의 검색 가능성, 내부 Google SecOps 규칙과의 일관성을 보장합니다.
GitHub에서 커뮤니티 파서 만들기
다음 섹션에서는 커뮤니티 파서를 만들고 관리하는 방법을 자세히 설명합니다.
커뮤니티 파서 찾기 및 다운로드
- 필요한 로그 유형 폴더로 이동합니다.
metadata.json파일을 검토하여 파서에서 지원하는 로그 소스와 관련된 참조가 있는지 확인합니다.- CBN 문법의 핵심 파서 로직이 포함된
parser.conf파일을 다운로드합니다.
Google SecOps에 커뮤니티 파서 배포
다음 단계에서는 커뮤니티 파서를 복사하여 자체 맞춤 파서 인스턴스로 변환하는 방법을 설명합니다. 배포되면 파서는 사용자가 유지관리하는 맞춤 파서로 작동합니다.
- Google SecOps 인스턴스에서 다운로드한
parser.conf파일의 콘텐츠를 SIEM 설정의 파서 만들기 페이지에 있는 해당 필드에 업로드하거나 붙여넣습니다.
커스텀 파서 검증
Google SecOps 인스턴스에 파서를 배포하면 잠재적인 파이프라인 실패 또는 정규화 문제를 확인하기 위해 내장된 맞춤 파서 유효성 검사가 자동으로 트리거됩니다. 이러한 유효성 검사에 실패하면 파서 로직을 수정하거나 특정 사용 사례에 맞게 파서 사본을 수정해야 합니다. 수정사항이나 개선사항을 커뮤니티 저장소에 다시 제공하고 오픈소스 커뮤니티에 적극적으로 참여하시기 바랍니다.
GitHub에서 새 파서를 제공하거나 기존 파서를 업데이트하는 방법에 관한 자세한 내용은 GitHub 파서 안내를 참고하세요.
통합과 관련된 문제가 발생하면 GitHub에서 케이스를 여세요.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.