Trabalhar com analisadores da comunidade no GitHub
O Google Security Operations usa um repositório de código aberto no GitHub para permitir a colaboração da comunidade, de parceiros e de clientes no desenvolvimento e na manutenção de analisadores. Esse repositório permite que as contribuições da comunidade expandam e mantenham o conjunto de analisadores disponíveis para o Google SecOps.
Objetivos
- Ativar contribuições da comunidade: permitir que usuários externos, parceiros e clientes contribuam com analisadores da comunidade novos e atualizados.
- Facilitar a adoção: oferecer aos usuários um mecanismo para adotar analisadores da comunidade nas instâncias de analisadores personalizados.
- Garantir a qualidade: manter uma estrutura rigorosa de verificação e testes para validar a segurança e a qualidade funcional de todas as contribuições antes do lançamento.
Antes de começar
Verifique se você tem a permissão chronicle.parsers.create, que faz parte da IAMrole chronicle.admin.
Estrutura do repositório
Todos os analisadores são organizados no diretório parsers/ de nível superior na área
Content Hub do repositório do GitHub. Cada origem do registro tem o próprio subdiretório dedicado.
content-hub/
└── content/
└── parsers/
├── third_party/
│ ├── community/
│ │ ├── VENDOR1_PRODUCT1/cbn/
│ │ └── VENDOR2_PRODUCT2/cbn/
│ ├── partnerA/
│ │ └── VENDOR1_PRODUCT1/cbn/
│ └── partnerB/
│ └── VENDOR1_PRODUCT1/cbn/
...
Convenções de nomenclatura de pastas
As convenções de nomenclatura de pastas para todos os subdiretórios no repositório third_party/community/parser são estritamente definidas. Esses padrões garantem a compatibilidade do sistema, a capacidade de descoberta para os clientes e o alinhamento com as convenções internas do Google SecOps.
Criar um analisador da comunidade no GitHub
A seção a seguir detalha como criar e gerenciar analisadores da comunidade.
Localizar e fazer o download de analisadores da comunidade
- Navegue até a pasta do tipo de registro necessário.
- Analise o arquivo
metadata.jsonpara verificar se há referências relacionadas às fontes de registro com suporte do analisador. - Faça o download do arquivo
parser.conf, que contém a lógica principal do analisador na sintaxe CBN.
Implantar analisadores da comunidade no Google SecOps
A etapa a seguir explica como copiar e converter um analisador da comunidade em sua própria instância de analisador personalizado. Depois de implantado, o analisador funciona como um analisador personalizado que você mantém.
- Na instância do Google SecOps, faça o upload ou cole o conteúdo
do arquivo
parser.conftransferido por download nos campos correspondentes na página Criar analisador em Configurações do SIEM.
Validar o analisador personalizado
Depois de implantar o analisador na instância do Google SecOps, as validações de analisadores personalizados integradas são acionadas automaticamente para verificar possíveis falhas de pipeline ou problemas de normalização. Se essas validações falharem, será necessário corrigir a lógica do analisador ou modificar sua cópia do analisador para se alinhar ao seu caso de uso específico. Incentivamos você a contribuir com correções ou melhorias para o repositório da comunidade e se tornar um participante ativo da comunidade de código aberto.
Para informações detalhadas sobre como contribuir com novos analisadores ou atualizar os existentes no GitHub, consulte as instruções do analisador do GitHub.
Se você encontrar algum problema com a integração, abra um caso no GitHub.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.