GitHub에서 커뮤니티 파서 구현

다음에서 지원:

Google Security Operations는 GitHub의 오픈소스 저장소를 활용하여 파서 개발 및 유지보수를 위한 커뮤니티, 파트너, 고객 협업을 지원합니다. 이 저장소를 통해 커뮤니티 기여가 Google SecOps에 사용할 수 있는 파서 집합을 확장하고 유지보수할 수 있습니다.

목표

  • 커뮤니티 기여 사용 설정: 외부 사용자, 파트너, 고객이 새 커뮤니티 파서와 업데이트된 커뮤니티 파서를 기여할 수 있도록 허용합니다.
  • 채택 촉진: 사용자에게 커뮤니티 파서를 커스텀 파서 인스턴스에 채택할 수 있는 메커니즘을 제공합니다.
  • 품질 보장: 출시 전에 모든 기여의 보안 및 기능 품질을 검증하기 위해 엄격한 심사 및 테스트 프레임워크를 유지보수합니다.

시작하기 전에

  • chronicle.admin IAM 역할의 일부인 chronicle.parsers.create 권한이 있는지 확인합니다.
  • 커뮤니티 파서에 기여하려면 참여자 라이선스 계약 (CLA)에 서명하세요. 자세한 내용은 참여자 라이선스 계약 서명을 참고하세요.

저장소 구조

모든 파서는 GitHub 저장소의 콘텐츠 허브 영역에 있는 최상위 parsers/ 디렉터리 내에 정리되어 있습니다. 각 로그 소스에는 자체 전용 하위 디렉터리가 있습니다.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

폴더 이름 지정 규칙

third_party/community/parser 저장소 내의 모든 하위 디렉터리에 대한 폴더 이름 지정 규칙은 엄격하게 정의되어 있습니다. 이러한 표준은 시스템 호환성, 고객의 검색 가능성, 내부 Google SecOps 규칙과의 조정을 보장합니다.

GitHub에서 커뮤니티 파서 만들기

다음 섹션에서는 커뮤니티 파서를 만들고 관리하는 방법을 자세히 설명합니다.

커뮤니티 파서 찾기 및 다운로드

  1. 필요한 로그 유형 폴더로 이동합니다.
  2. metadata.json 파일을 검토하여 파서에서 지원하는 로그 소스와 관련된 참조를 확인합니다.
  3. CBN 구문으로 핵심 파서 로직이 포함된 parser.conf 파일을 다운로드합니다.

Google SecOps에 커뮤니티 파서 배포

다음 단계에서는 커뮤니티 파서를 복사하여 자체 커스텀 파서 인스턴스로 변환하는 방법을 설명합니다. 배포되면 파서는 사용자가 유지보수하는 커스텀 파서로 작동합니다.

  • Google SecOps 인스턴스에서 다운로드한 parser.conf 파일의 콘텐츠를 **SIEM 설정** 의 **파서 만들기** 페이지에 있는 해당 필드에 업로드하거나 붙여넣습니다.

커스텀 파서 검증

Google SecOps 인스턴스에 파서를 배포하면 잠재적인 파이프라인 오류 또는 정규화 문제를 확인하기 위해 기본 제공 커스텀 파서 검증이 자동으로 트리거됩니다. 이러한 검증에 실패하면 파서 로직을 수정하거나 특정 사용 사례에 맞게 파서 사본을 수정해야 합니다. 수정사항 또는 개선사항을 커뮤니티 저장소에 다시 기여하고 오픈소스 커뮤니티에 적극적으로 참여하는 것이 좋습니다.

GitHub에서 새 파서를 기여하거나 기존 파서를 업데이트하는 방법에 관한 자세한 내용은 GitHub 파서 안내를 참고하세요.

통합과 관련하여 문제가 발생하면 GitHub에서 케이스를 여세요. 커뮤니티 파서는 Google 지원 대상이 아닙니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.