Richtlinie zur Unterstützung von Standardparsern
Google SecOps bietet eine breite Palette an vorkonfigurierten Standardparsern, mit denen Sie Logs aus verschiedenen Datenquellen schnell aufnehmen und normalisieren können. Um die Plattformstabilität, die vorhersehbare Leistung und die hochwertige Datennormalisierung zu gewährleisten, verwendet Google SecOps ein spezielles Supportmodell für Standardparser.
Supportstufen für Parser
Google SecOps bietet die folgenden Supportstufen für Parser:
| Parser-Typ | Beschreibung und Support |
|---|---|
| Premium-Parser | Google SecOps bietet hochwertige Parser aus den am häufigsten verwendeten Datenquellen mit hohem Volumen. Google bearbeitet Kundenanfragen zu Premium-Parsern in der Regel innerhalb weniger Tage. |
| Standardparser | Für andere unterstützte Datenquellen bietet Google SecOps Best-Effort-Support. Anfragen zu neuen Feldzuordnungen werden als Feature-Anfragen behandelt und sind Teil des Produkt-Backlogs. Um sofortige Anforderungen zu erfüllen, können Sie die Self-Service-Parser-Erweiterungen und die Funktionen zur automatischen Extraktion verwenden. |
| Benutzerdefinierte Parser und Erweiterungen | Google SecOps bietet keinen Support für diese. Wir empfehlen Ihnen, dies entweder unabhängig oder mit Unterstützung von Google-Partnern zu verwalten. |
Eine vollständige Liste der Premium- und Standardparser finden Sie unter Standardparserkonfiguration.
Eine Übersicht zum Parsen von Rohlogs in das UDM-Format (Unified Data Model) finden Sie unter Übersicht zum Log-Parsing.
Wichtige UDM-Felder
Mit über einer Million verschiedener Felder, die in verschiedenen Logformaten aufgenommen werden, konzentriert sich Google SecOps bei den Standardzuordnungen für Standardparser auf die wichtigsten Sicherheitsdaten.
Standardparser sind speziell darauf ausgelegt, die wichtigen UDM-Felder zuzuordnen. Diese Felder stellen die wichtigsten Datenpunkte dar, die für eine effektive nachgelagerte Bedrohungserkennung und den Kontext erforderlich sind. Für alle Felder außerhalb dieser Kernliste empfehlen wir Kunden dringend, diese mithilfe unserer umfassenden Suite von Self-Service-Tools zuzuordnen, z. B. Parser-Erweiterungen und automatische Extraktion.
Kundensupportstufen
Der Parser-Support und die SLOs unterscheiden sich je nach Ihrer Google SecOps-Berechtigung:
- Kunden mit Premium-Support:Kunden mit einer Expert- oder Expert+-Berechtigung.
- Kunden mit Standard-Support:Kunden mit einer Standardberechtigung.
Matrix für Standardparseranfragen
Google priorisiert und verarbeitet Standardparseranfragen je nach Art der Anfrage und Ihrer Supportstufe.
| Anfragetyp | Kunden mit Standardzugriff | Kunden mit Expert- oder Expert+-Zugriff |
|---|---|---|
| Regression / Fehler (erhebliche regressive Auswirkungen auf das Parsen) | Sofortiges Rollback oder sofortige Behebung. | Sofortiges Rollback oder sofortige Behebung. |
| Anfragen zu neuen Parsern ODER Anfragen zu einem neuen Logformat / Schema in einem vorhandenen Parser | Wird nur als Standardparser erstellt, wenn er von mindestens 10 Kunden angefordert wird oder nach Ermessen von Google. Andernfalls leitet das System die Anfrage an Self-Service- oder Partner-/PSO-Pfade weiter. | Wird nach Ermessen von Google als vorkonfigurierter Standardparser oder als Google SecOps GitHub-Parser erstellt. |
| Fehlende/falsche „wichtige Felder“ ODER falsche „unwichtige Felder“ | Wird mit der Parserwarteschlange und Self-Service-Tools verarbeitet (Best-Effort, keine SLO). | Wird in der Parserwarteschlange priorisiert (SLO von 6 Wochen). Bei Bedarf werden Erweiterungen für eine sofortige Behebung angeboten. |
| Fehlende „unwichtige Felder“ | Nur Self-Service. Kunden sollten Self-Service-Tools (Erweiterungen, automatische Extraktion) verwenden, anstatt Supporttickets zu erstellen. | Wird mit der Parserwarteschlange und Self-Service-Tools verarbeitet. Bei Bedarf wird persönlicher Support angeboten. |
Community- und GitHub-Parser
Um ein umfassenderes und lebendigeres Ökosystem für das Log-Parsing zu schaffen, unterhält Google SecOps ein spezielles Google SecOps GitHub-Repository.
Dieses Open-Source-Ökosystem ermöglicht es Partnern, Anbietern und der Google SecOps-Community, Parser beizutragen und zu verwalten. So wird sichergestellt, dass auch für Nischenprodukte oder hochspezialisierte kommerzielle Produkte funktionale Parser für die Bereitstellung verfügbar sind.
Vorkonfigurierte Parser mit geringer Nutzung (Longtail):Um eine hohe Leistung aufrechtzuerhalten und die Entwicklungsbemühungen auf die am häufigsten verwendeten Datenquellen zu konzentrieren, werden vorkonfigurierte Parser, die von einer geringen Anzahl von Kunden verwendet werden, in von der Community verwaltete Parser auf GitHub umgestellt.
- Google veröffentlicht nur kritische Updates (Breaking Changes oder erhebliche Verschlechterung der Normalisierung für die Mehrheit der Nutzer) für die vorkonfigurierten Versionen dieser Parser mit geringer Nutzung.
- Alle neuen, nicht kritischen Verbesserungen oder Feldhinzufügungen für diese Parser werden direkt zur GitHub-Version beigetragen. Mit diesem Ansatz werden diese Parser zu Open-Source-Parsern und die Community kann zum Repository beitragen.
- Kunden, die diese Parser verwenden, sollten zur GitHub-Version migrieren, um von den laufenden Verbesserungen durch die Community und Google zu profitieren, anstatt Supporttickets für die vorkonfigurierte Version zu erstellen.
Vergleich der verschiedenen Parser-Varianten
| Kriterium | Vorkonfigurierte Parser (Premium-Parser + Standardparser ohne Longtail) | Parser auf GitHub – ausgelagerte vorkonfigurierte Longtail-Parser | Parser auf GitHub – von der Community / von Partnern erstellt | Benutzerdefinierte Parser |
|---|---|---|---|---|
| Eigentümer | Von Google | Erste Erstellung durch Google, dann Eigentümer Community / Partner (abhängig vom Parser) | Eigentümer Community / Partner | Eigentümer Kunde |
| Parserbereitstellung | Automatisch bereitgestellt | Der Kunde muss den Parser abrufen. | Der Kunde muss den Parser abrufen. | Bereitstellung durch den Kunden |
| Änderungen (Parserversionen) | Alle Änderungen werden von Google vorgenommen | Eigentümer Community / Partner. Google kann bei Bedarf Code beitragen. | Änderungen werden basierend auf Beiträgen der Community / von Partnern vorgenommen | Alle Änderungen werden vom Kunden vorgenommen |
| Support für Nutzeranfragen | Google unterstützt die Anfragen: Premium – alle, Standard – Fokus auf wichtige UDM-Felder | Wird von der Community / von Partnern verwaltet. Google kann bei Bedarf Code beitragen. | Wird vollständig von der Community / von Partnern verwaltet | Wird vollständig vom Kunden verwaltet |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten