Règlement sur la compatibilité des analyseurs standards
Google SecOps fournit un large éventail d'analyseurs standards prédéfinis et prêts à l'emploi pour vous aider à ingérer et à normaliser rapidement les journaux provenant de diverses sources de données. Pour vérifier la stabilité de la plate-forme, les performances prévisibles et la normalisation des données de haute qualité, Google SecOps utilise un modèle d'assistance ciblé pour les analyseurs standards.
Niveaux de compatibilité des analyseurs
Google SecOps propose les niveaux de compatibilité suivants pour les analyseurs :
| Type d'analyseur | Description et assistance |
|---|---|
| Analyseurs Premium | Google SecOps fournit des analyseurs de haute qualité à partir des sources de données les plus utilisées et à fort volume. Google traite généralement les demandes des clients concernant les analyseurs premium en quelques jours. |
| Analyseurs standards | Pour les autres sources de données compatibles, Google SecOps propose une assistance optimale. Les demandes de nouveaux mappages de champs sont traitées comme des demandes de fonctionnalités et font partie du backlog produit. Pour répondre à vos besoins immédiats, vous pouvez utiliser les extensions d'analyseur en libre-service et les fonctionnalités d'extraction automatique. |
| Analyseurs et extensions personnalisés | Google SecOps ne fournit aucune assistance pour ces intégrations. Nous vous recommandons de gérer cela de manière indépendante ou avec l'aide de partenaires Google. |
Pour obtenir la liste complète des analyseurs Premium et Standard, consultez Configuration par défaut de l'analyseur.
Pour obtenir une présentation de l'analyse des journaux bruts au format UDM (Unified Data Model), consultez Présentation de l'analyse des journaux.
Se concentrer sur les champs UDM importants
Google SecOps ingère plus d'un million de champs distincts dans différents formats de journaux. Il concentre donc les mappages par défaut de son analyseur standard sur les données de sécurité les plus critiques.
Les analyseurs standards sont spécifiquement conçus pour mapper les champs UDM importants. Ces champs représentent les points de données les plus importants pour une détection et un contexte efficaces des menaces en aval. Pour tous les champs ne figurant pas dans cette liste principale, nous encourageons vivement les clients à les mapper à l'aide de notre suite complète d'outils en libre-service, tels que les extensions d'analyseur et l'extraction automatique.
Niveaux d'assistance client
La prise en charge des analyseurs et les SLO sont différenciés en fonction de vos droits Google SecOps :
- Clients disposant de l'assistance Premium : clients disposant d'un droit d'accès Expert ou Expert+.
- Clients bénéficiant de l'assistance Standard : clients disposant de droits d'accès Standard.
Matrice des requêtes de l'analyseur standard
Google trie et traite les demandes d'analyseur standard en fonction de leur nature et de votre niveau d'assistance.
| Type de requête | Clients standards | Clients Expert / Expert+ |
|---|---|---|
| Régression / Rupture (effets régressifs majeurs sur l'analyse) | Effectuez immédiatement un rollback ou corrigez le problème. | Effectuez immédiatement un rollback ou corrigez le problème. |
| Demandes de nouvel analyseur OU demandes de nouveau format / schéma de journal dans un analyseur existant | Construit comme un analyseur par défaut uniquement si au moins 10 clients le demandent, ou à la discrétion de Google. Sinon, le système achemine la demande vers les chemins en libre-service ou partenaire / PSO. | Il est intégré en tant qu'analyseur prédéfini par défaut ou en tant qu'analyseur Google SecOps GitHub, à la discrétion de Google. |
| Champs importants manquants ou incorrects, OU champs non importants incorrects | Géré à l'aide de la file d'attente de l'analyseur et des outils en libre-service (au mieux, sans SLO). | Priorité dans la file d'attente de l'analyseur (objectif de niveau de service de six semaines) ; proposer des extensions pour une correction immédiate si nécessaire. |
| Champs "Non importants" manquants | Libre-service uniquement. Les clients doivent utiliser les outils en libre-service (extensions, extraction automatique) plutôt que d'ouvrir des demandes d'assistance. | Gérez-le à l'aide de la file d'attente de l'analyseur et des outils en libre-service. Une assistance très personnalisée est fournie si nécessaire. |
Analyseurs de la communauté et GitHub
Pour fournir un écosystème plus riche et plus dynamique pour l'analyse des journaux, Google SecOps gère un dépôt GitHub Google SecOps dédié.
Cet écosystème Open Source permet aux partenaires, aux fournisseurs et à la communauté Google SecOps de contribuer aux analyseurs et de les gérer. Cette logique permet de vérifier que même les produits commerciaux de niche ou très spécialisés peuvent disposer d'analyseurs fonctionnels pouvant être déployés.
Analyseurs prédéfinis à faible utilisation (longue traîne) : pour maintenir des performances élevées et concentrer les efforts d'ingénierie sur les sources de données les plus utilisées, les analyseurs prédéfinis utilisés par un petit nombre de clients sont transférés vers des analyseurs gérés par la communauté sur GitHub.
- Google ne publie que les mises à jour critiques (modifications incompatibles ou dégradation importante de la normalisation pour la majorité des clients qui les utilisent) pour les versions précompilées de ces analyseurs de faible utilisation.
- Toutes les nouvelles améliorations ou ajouts de champs non critiques pour ces analyseurs seront directement ajoutés à la version GitHub. Cette approche permettra de rendre ces analyseurs Open Source et d'autoriser les contributions de la communauté au dépôt.
- Nous encourageons vivement les clients qui utilisent ces analyseurs à migrer vers la version GitHub pour bénéficier des améliorations apportées par la communauté et Google, plutôt que d'ouvrir des demandes d'assistance pour la version prédéfinie.
Comparaison entre les différentes variantes de l'analyseur
| Critères | Analyseurs prédéfinis (analyseurs standards Premium et non longue traîne) | Analyseurs sur GitHub : analyseurs prédéfinis longue traîne déchargés | Analyseurs sur GitHub : créés par la communauté ou des partenaires | Analyseurs personnalisés |
|---|---|---|---|---|
| Propriété | Propriété de Google | Création initiale par Google, puis propriété de la communauté / du partenaire (selon l'analyseur) | Détenu par la communauté / un partenaire | Appartenant au client |
| Déploiement de l'analyseur | Déployé automatiquement | Le client doit extraire l'analyseur. | Le client doit extraire l'analyseur. | Déploiements par les clients |
| Modifications (versions de l'analyseur) | Toutes les modifications apportées par Google | Contenus appartenant à la communauté ou à un partenaire Google peut contribuer au code, le cas échéant. | Modifications apportées en fonction des contributions de la communauté / des partenaires | Toutes les modifications apportées par le client |
| Assistance pour les demandes des utilisateurs | Google accepte les demandes : Premium : toutes les demandes ; Standard : se concentrer sur les champs UDM importants | Géré par la communauté / un partenaire. Google peut contribuer au code, le cas échéant. | Entièrement géré par la communauté / un partenaire | Entièrement géré par le client |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.