Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Trabalhar com analisadores da comunidade no GitHub

Compatível com:

Google SecOps SIEM

O Google Security Operations usa um repositório de código aberto no GitHub para permitir a colaboração da comunidade, de parceiros e de clientes no desenvolvimento e na manutenção de analisadores. Esse repositório permite que as contribuições da comunidade expandam e mantenham o conjunto disponível de analisadores para o Google SecOps.

Metas

Ativar contribuições da comunidade: permitir que usuários externos, parceiros e clientes contribuam com analisadores da comunidade novos e atualizados.
Facilitar a adoção: ofereça aos usuários um mecanismo para adotar analisadores da comunidade nas instâncias de analisadores personalizados.
Garantir a qualidade: mantenha uma estrutura rigorosa de verificação e testes para validar a segurança e a qualidade funcional de todas as contribuições antes do lançamento.

Antes de começar

Verifique se você tem a permissão chronicle.parsers.create, que faz parte do papel do IAM chronicle.admin.
Para contribuir com analisadores da comunidade, assine um Contrato de licença de colaborador (CLA, na sigla em inglês). Para mais detalhes, consulte Assinar nosso Contrato de licença de colaborador.

Estrutura do repositório

Todos os analisadores são organizados no diretório de nível superior parsers/ na área "Central de conteúdo" do repositório do GitHub. Cada origem do registro tem um subdiretório dedicado.

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

Convenções de nomenclatura de pastas

As convenções de nomenclatura de pastas para todos os subdiretórios no repositório third_party/community/parser são estritamente definidas. Esses padrões garantem a compatibilidade do sistema, a capacidade de descoberta para os clientes e o alinhamento com as convenções internas do Google SecOps.

Criar um analisador da comunidade no GitHub

A seção a seguir detalha como criar e gerenciar analisadores da comunidade.

Localizar e baixar analisadores da comunidade

Navegue até a pasta do tipo de registro necessário.
Revise o arquivo metadata.json para verificar referências relacionadas às fontes de registro compatíveis com o analisador.
Faça o download do arquivo parser.conf, que contém a lógica principal do analisador na sintaxe CBN.

Implantar analisadores da comunidade no Google SecOps

A etapa a seguir explica como copiar e converter um analisador da comunidade na sua própria instância de analisador personalizado. Depois de implantado, o analisador funciona como um analisador personalizado que você mantém.

Na sua instância do Google SecOps, faça upload ou cole o conteúdo do arquivo parser.conf baixado nos campos correspondentes na página Criar analisador em Configurações do SIEM.

Validar o analisador personalizado

Depois de implantar o analisador na sua instância do Google SecOps, as validações de analisador personalizado integradas são acionadas automaticamente para verificar possíveis falhas de pipeline ou problemas de normalização. Se essas validações falharem, corrija a lógica do analisador ou modifique sua cópia para se alinhar ao seu caso de uso específico. Recomendamos que você envie correções ou melhorias para o repositório da comunidade e participe ativamente da comunidade de código aberto.

Para informações detalhadas sobre como contribuir com novos analisadores ou atualizar os existentes no GitHub, consulte as instruções do analisador do GitHub.

Se você tiver problemas com a integração, abra um caso no GitHub.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.