Política de asistencia para analizadores estándar
Google SecOps proporciona una amplia variedad de analizadores estándar listos para usar y precompilados para ayudarte a ingerir y normalizar rápidamente registros de varias fuentes de datos. Para verificar la estabilidad de la plataforma, el rendimiento predecible y la normalización de datos de alta calidad, Google SecOps usa un modelo de asistencia enfocado para los analizadores estándar.
Niveles de asistencia para analizadores
Google SecOps ofrece los siguientes niveles de asistencia para analizadores:
| Tipo de analizador | Descripción y asistencia |
|---|---|
| Analizadores premium | Google SecOps proporciona analizadores de alta calidad de las fuentes de datos más usadas y de gran volumen. Por lo general, Google procesa las solicitudes de los clientes para los analizadores premium en unos días. |
| Analizadores estándar | Para otras fuentes de datos compatibles, Google SecOps ofrece asistencia según el mejor esfuerzo. Las solicitudes de asignaciones de campos nuevos se manejan como solicitudes de funciones y forman parte del backlog del producto. Para satisfacer las necesidades inmediatas, puedes usar las extensiones de analizador de autoservicio y las capacidades de extracción automática. |
| Analizadores y extensiones personalizados | Google SecOps no ofrece asistencia para estos. Te recomendamos que los administres de forma independiente o con la ayuda de socios de Google. |
Para obtener una lista completa de los analizadores premium y estándar, consulta Configuración predeterminada del analizador.
Para obtener una descripción general del análisis de registros sin procesar en el formato del modelo de datos unificado (UDM), consulta Descripción general del análisis de registros.
Enfoque en los campos importantes del UDM
Con más de un millón de campos distintos ingeridos en diferentes formatos de registro, Google SecOps enfoca sus asignaciones predeterminadas de analizadores estándar en los datos de seguridad más importantes.
Los analizadores estándar se diseñan específicamente para asignar los campos importantes del UDM. Estos campos representan los puntos de datos más importantes que se requieren para la detección y el contexto de amenazas descendentes eficaces. Para cualquier campo fuera de esta lista principal, recomendamos a los clientes que los asignen con nuestro conjunto integral de herramientas de autoservicio, como las extensiones de analizador y la extracción automática.
Niveles de asistencia al cliente
La asistencia para analizadores y los SLO se diferencian según tu derecho de Google SecOps:
- Clientes de asistencia premium: Clientes que tienen un derecho de Expert o Expert+.
- Clientes de asistencia estándar: Clientes con derecho estándar.
Matriz de solicitudes de analizadores estándar
Google clasifica y procesa las solicitudes de analizadores estándar según la naturaleza de la solicitud y tu nivel de asistencia.
| Tipo de solicitud | Clientes estándar | Clientes Expert o Expert+ |
|---|---|---|
| Regresión o interrupción (efectos regresivos importantes en el análisis) | Reversión o solución inmediata. | Reversión o solución inmediata. |
| Solicitudes de analizadores nuevos O solicitudes de un formato o esquema de registro nuevo en un analizador existente | Se compila como un analizador predeterminado solo si lo solicitan >= 10 clientes o según la discreción comercial de Google. De lo contrario, el sistema enruta la solicitud a rutas de autoservicio o de socios o PSO. | Se compila como un analizador precompilado predeterminado o un analizador de GitHub de Google SecOps según la discreción de Google. |
| Faltan o son incorrectos los "campos importantes" O son incorrectos los "campos no importantes" | Se maneja con la cola del analizador y las herramientas de autoservicio (según el mejor esfuerzo, sin SLO). | Se prioriza en la cola del analizador (SLO de 6 semanas); ofrece extensiones para una solución inmediata si es necesario. |
| Faltan "campos no importantes" | Solo autoservicio. Los clientes deben usar herramientas de autoservicio (extensiones, extracción automática) en lugar de abrir tickets de asistencia. | Se maneja con la cola del analizador y las herramientas de autoservicio. Se proporciona asistencia de alto contacto si es necesario. |
Analizadores de la comunidad y de GitHub
Para proporcionar un ecosistema más enriquecido y dinámico para el análisis de registros, Google SecOps mantiene un repositorio de GitHub de Google SecOps dedicado.
Este ecosistema de código abierto permite que los socios, los proveedores y la comunidad de Google SecOps contribuyan y mantengan analizadores. Esta lógica verifica que incluso los productos comerciales de nicho o altamente especializados puedan tener analizadores funcionales disponibles para la implementación.
Analizadores precompilados de bajo uso (longtail): Para mantener un alto rendimiento y enfocar los esfuerzos de ingeniería en las fuentes de datos más utilizadas, los analizadores precompilados que usan una cantidad baja de clientes se transfieren a analizadores mantenidos por la comunidad en GitHub.
- Google solo lanza actualizaciones críticas (cambios rotundos o degradación grave de la normalización para la mayoría de los clientes que lo usan) a las versiones precompiladas de estos analizadores de bajo uso.
- Todas las mejoras o adiciones de campos nuevas y no críticas para estos analizadores se aportarán directamente a la versión de GitHub. Este enfoque abrirá el código fuente de estos analizadores y permitirá la contribución de la comunidad al repositorio.
- Se recomienda a los clientes que usan estos analizadores que migren a la versión de GitHub para beneficiarse de las mejoras continuas de la comunidad y de Google, en lugar de abrir tickets de asistencia para la versión precompilada.
Comparación entre las diferentes variantes de analizadores
| Criterios | Analizadores precompilados (analizadores premium y estándar que no son longtail) | Analizadores en GitHub: analizadores precompilados longtail descargados | Analizadores en GitHub: creados por la comunidad o socios | Analizadores personalizados |
|---|---|---|---|---|
| Propiedad | Propiedad de Google | Creación inicial por parte de Google y, luego, propiedad de la comunidad o de socios (depende del analizador) | Propiedad de la comunidad o de socios | Propiedad del cliente |
| Implementación del analizador | Se implementa automáticamente | El cliente debe extraer el analizador. | El cliente debe extraer el analizador. | El cliente implementa |
| Cambios (versiones del analizador) | Todos los cambios realizados por Google | Propiedad de la comunidad o de socios. Google puede aportar código cuando sea pertinente. | Cambios realizados en función de la contribución de la comunidad o de socios | Todos los cambios realizados por el cliente |
| Asistencia para solicitudes de usuarios | Google admite las solicitudes: Premium: todas; Estándar: enfoque en campos importantes del UDM | Mantenido por la comunidad o socios. Google puede aportar código cuando sea pertinente. | Mantenido por completo por la comunidad o socios | Mantenido por completo por el cliente |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.