Supportrichtlinie für Standardparser
Google SecOps bietet eine Vielzahl von vorgefertigten Standard-Parsern, mit denen Sie Logs aus verschiedenen Datenquellen schnell aufnehmen und normalisieren können. Um die Stabilität der Plattform, die vorhersehbare Leistung und die hochwertige Datennormalisierung zu gewährleisten, verwendet Google SecOps ein fokussiertes Supportmodell für Standardparser.
Parser-Unterstützungsstufen
Google SecOps bietet die folgenden Parser-Supportstufen:
| Parser-Typ | Beschreibung und Support |
|---|---|
| Premium-Parser | Google SecOps bietet hochwertige Parser für die am häufigsten verwendeten Datenquellen mit hohem Volumen. Google bearbeitet Kundenanfragen für Premium-Parser in der Regel innerhalb weniger Tage. |
| Standard-Parser | Für andere unterstützte Datenquellen bietet Google SecOps Best-Effort-Support. Anfragen für neue Feldzuordnungen werden als Feature-Anfragen behandelt und sind Teil des Produkt-Backlogs. Um unmittelbare Anforderungen zu erfüllen, können Sie die Parser-Erweiterungen zur Selbsthilfe und die Funktionen zur automatischen Extraktion verwenden. |
| Benutzerdefinierte Parser und Erweiterungen | Google SecOps bietet keinen Support für diese. Wir empfehlen Ihnen, dies entweder selbst oder mit Unterstützung von Google-Partnern zu verwalten. |
Eine vollständige Liste der Premium- und Standard-Parser finden Sie unter Standard-Parserkonfiguration.
Eine Übersicht zum Parsen von Rohlogs in das UDM-Format (Unified Data Model) finden Sie unter Übersicht zum Parsen von Logs.
Wichtige UDM-Felder
Google SecOps verarbeitet über eine Million unterschiedliche Felder in verschiedenen Logformaten. Die Standardzuordnungen des Standardparsers konzentrieren sich auf die wichtigsten Sicherheitsdaten.
Standardparser sind speziell darauf ausgerichtet, die wichtigen UDM-Felder zuzuordnen. Diese Felder enthalten die wichtigsten Datenpunkte, die für eine effektive nachgelagerte Bedrohungserkennung und den Kontext erforderlich sind. Für alle Felder, die nicht in dieser Kernliste enthalten sind, empfehlen wir Kunden dringend, sie mit unserer umfassenden Suite von Self-Service-Tools wie Parser-Erweiterungen und Auto-Extraction zuzuordnen.
Kundensupportstufen
Die Parserunterstützung und die SLOs unterscheiden sich je nach Ihrer Google SecOps-Berechtigung:
- Premium-Supportkunden:Kunden mit einem Expert- oder Expert+-Anspruch.
- Kunden mit Standard-Support:Kunden mit Standard-Berechtigung.
Standard-Parser-Anfragematrix
Google priorisiert und verarbeitet Standardparseranfragen je nach Art der Anfrage und Ihrer Supportstufe.
| Anfragetyp | Standardkunden | Expert-/Expert+-Kunden |
|---|---|---|
| Regression / Fehler (erhebliche regressive Auswirkungen auf das Parsen) | Sofortiges Rollback oder sofortige Korrektur. | Sofortiges Rollback oder sofortige Korrektur. |
| Anfragen für neue Parser ODER Anfragen für ein neues Logformat / Schema in einem vorhandenen Parser | Wird nur als Standardparser erstellt, wenn dies von mindestens 10 Kunden angefordert wird oder nach Ermessen von Google. Andernfalls leitet das System die Anfrage an Self-Service- oder Partner-/PSO-Pfade weiter. | Er wird nach Ermessen von Google als standardmäßiger vordefinierter Parser oder als Google SecOps-GitHub-Parser erstellt. |
| Fehlende/falsche „wichtige Felder“ ODER falsche „nicht wichtige Felder“ | Wird über die Parserwarteschlange und Self-Service-Tools verarbeitet (Best-Effort, kein SLO). | Priorisiert in der Parser-Warteschlange (6 Wochen SLO); bei Bedarf sofortige Korrektur anbieten. |
| „Nicht wichtige Felder“ fehlen | Nur Self-Service. Kunden sollten Self-Service-Tools (Erweiterungen, automatische Extraktion) verwenden, anstatt Supportanfragen zu erstellen. | Mit Parserwarteschlange und Self-Service-Tooling bearbeiten. Bei Bedarf wird persönlicher Service angeboten. |
Community- und GitHub-Parser
Um ein umfassenderes, dynamischeres Ökosystem für die Log-Analyse zu schaffen, unterhält Google SecOps ein spezielles Google SecOps GitHub-Repository.
Dieses Open-Source-Ökosystem ermöglicht es Partnern, Anbietern und der Google SecOps-Community, Parser beizutragen und zu pflegen. Diese Logik stellt sicher, dass auch für Nischenprodukte oder hochspezialisierte kommerzielle Produkte funktionale Parser für die Bereitstellung verfügbar sein können.
Vorgefertigte Parser mit geringer Nutzung (Longtail):Um eine hohe Leistung aufrechtzuerhalten und die Entwicklungsarbeit auf die am häufigsten genutzten Datenquellen zu konzentrieren, werden vorgefertigte Parser, die von einer geringen Anzahl von Kunden verwendet werden, in von der Community verwaltete Parser auf GitHub umgewandelt.
- Google veröffentlicht nur kritische Updates (Breaking Changes oder erhebliche Normalisierungsverschlechterungen für die Mehrheit der Kunden, die sie verwenden) für die vordefinierten Versionen dieser Parser mit geringer Nutzung.
- Alle neuen, nicht kritischen Verbesserungen oder Feld-Ergänzungen für diese Parser werden direkt in die GitHub-Version eingebracht. Bei diesem Ansatz werden diese Parser als Open-Source-Software veröffentlicht und die Community kann zum Repository beitragen.
- Kunden, die diese Parser verwenden, wird dringend empfohlen, zur GitHub-Version zu migrieren, um von den laufenden Verbesserungen durch die Community und Google zu profitieren, anstatt Supportanfragen für die vordefinierte Version zu stellen.
Vergleich der verschiedenen Parser-Varianten
| Kriterium | Vorgefertigte Parser (Premium- und Standardparser ohne Longtail) | Parser auf GitHub – ausgelagerte Longtail-Parser | Parser auf GitHub – von der Community / von Partnern erstellt | Benutzerdefinierte Parser |
|---|---|---|---|---|
| Eigentümer | Von Google | Die ursprüngliche Erstellung erfolgt durch Google, danach gehört sie der Community oder einem Partner (abhängig vom Parser). | Gehört der Community / einem Partner | Gehört dem Kunden |
| Parser-Bereitstellung | Automatisch bereitgestellt | Der Kunde muss den Parser abziehen. | Der Kunde muss den Parser abziehen. | Bereitstellungen durch Kunden |
| Änderungen (Parserversionen) | Alle von Google vorgenommenen Änderungen | Community-/Partnerinhalte Google kann bei Bedarf Code beisteuern. | Änderungen aufgrund von Beiträgen der Community / von Partnern | Alle vom Kunden vorgenommenen Änderungen |
| Support für Nutzeranfragen | Google unterstützt die Anfragen: Premium – alle, Standard – Fokus auf wichtige UDM-Felder | Wird von der Community / einem Partner verwaltet. Google kann bei Bedarf Code beisteuern. | Vollständig von der Community / einem Partner verwaltet | Vollständig vom Kunden verwaltet |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten