在 GitHub 中使用社群剖析器

Google Security Operations 採用 GitHub 上的開放原始碼存放區，方便社群、合作夥伴和客戶共同開發及維護剖析器。 這個存放區可讓社群貢獻者擴充及維護 Google SecOps 的可用剖析器集。

目標

• 啟用社群協力翻譯：允許外部使用者、合作夥伴和客戶貢獻新的社群剖析器，以及更新現有剖析器。
• 促進採用：為使用者提供機制，將社群剖析器納入自訂剖析器執行個體。
• 確保品質：維持嚴格的審查和測試架構，在發布前驗證所有貢獻內容的安全性與功能品質。

事前準備

請確認您具備 chronicle.parsers.create 權限，這是 chronicle.admin IAM 角色中有的權限。

存放區結構

所有剖析器都整理在 GitHub 存放區「內容中心」區域的頂層 parsers/ 目錄中。每個記錄來源都有專屬的子目錄。

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

資料夾命名慣例

third_party/community/parser 存放區中所有子目錄的資料夾命名慣例都有嚴格規定。這些標準可確保系統相容性、方便顧客搜尋，並符合 Google SecOps 內部慣例。

在 GitHub 中建立社群剖析器

下一節將詳細說明如何建立及管理社群剖析器。

尋找及下載社群剖析器

1. 前往所需記錄類型資料夾。
2. 查看 metadata.json 檔案，檢查是否有與剖析器支援的記錄來源相關的參照。
3. 下載 parser.conf 檔案，其中包含 CBN 語法中的核心剖析器邏輯。

在 Google SecOps 中部署社群剖析器

下列步驟說明如何將社群剖析器複製並轉換為自訂剖析器執行個體。部署完成後，剖析器就會以您維護的自訂剖析器形式運作。

• 在 Google SecOps 執行個體中，將下載的 parser.conf 檔案內容上傳或貼到「SIEM 設定」頁面「建立剖析器」的對應欄位。

驗證自訂剖析器

在 Google SecOps 執行個體中部署剖析器後，系統會自動觸發內建的自訂剖析器驗證，檢查是否有潛在的管道故障或正規化問題。如果驗證失敗，您必須修正剖析器邏輯，或修改剖析器副本，以符合特定用途。我們鼓勵您將修正內容或強化功能貢獻回社群存放區，並積極參與開放原始碼社群。

如要詳細瞭解如何在 GitHub 中提供新的剖析器或更新現有剖析器，請參閱 GitHub 剖析器操作說明。

如果整合時遇到任何問題，請在 GitHub 中開啟案件。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。