Kebijakan dukungan parser standar
Google SecOps menyediakan berbagai parser standar siap pakai yang telah dibuat sebelumnya untuk membantu Anda dengan cepat mengimpor dan menormalkan log dari berbagai sumber data. Untuk memverifikasi stabilitas platform, performa yang dapat diprediksi, dan normalisasi data berkualitas tinggi, Google SecOps menggunakan model dukungan terfokus untuk parser Standar.
Tingkat dukungan parser
Google SecOps menawarkan tingkat dukungan parser berikut:
| Jenis Parser | Deskripsi dan Dukungan |
|---|---|
| Parser premium | Google SecOps menyediakan parser berkualitas tinggi dari sumber data bervolume tinggi yang paling banyak digunakan. Google biasanya memproses permintaan pelanggan untuk parser premium dalam beberapa hari. |
| Parser standar | Untuk sumber data lain yang didukung, Google SecOps menawarkan dukungan upaya terbaik. Permintaan untuk pemetaan kolom baru ditangani sebagai permintaan fitur dan merupakan bagian dari backlog produk. Untuk memenuhi kebutuhan mendesak, Anda dapat menggunakan ekstensi parser layanan mandiri dan kemampuan Ekstraksi Otomatis. |
| Parser dan ekstensi buatan kustom | Google SecOps tidak menawarkan dukungan untuk parser dan ekstensi ini. Sebaiknya Anda mengelola parser dan ekstensi ini secara mandiri atau dengan bantuan dari partner Google. |
Untuk daftar lengkap parser Premium dan Standar, lihat Konfigurasi Parser Default.
Untuk ringkasan penguraian log mentah ke format Model Data Terpadu (UDM), lihat Ringkasan penguraian log.
Fokus pada Kolom UDM Penting
Dengan lebih dari satu juta kolom berbeda yang diimpor di berbagai format log, Google SecOps memfokuskan pemetaan default parser standarnya pada data keamanan yang paling penting.
Parser standar secara khusus dicakup untuk memetakan Kolom UDM Penting. Kolom ini mewakili titik data paling penting yang diperlukan untuk deteksi dan konteks ancaman hilir yang efektif. Untuk kolom apa pun di luar daftar inti ini, sebaiknya pelanggan memetakannya menggunakan rangkaian lengkap alat layanan mandiri kami, seperti Ekstensi Parser dan Ekstraksi Otomatis.
Tingkat Dukungan Pelanggan
Dukungan parser dan SLO dibedakan berdasarkan hak Google SecOps Anda:
- Pelanggan Dukungan Premium: Pelanggan yang memiliki hak Pakar atau Pakar+.
- Pelanggan Dukungan Standar: Pelanggan dengan hak Standar.
Matriks Permintaan Parser Standar
Google melakukan triase dan memproses permintaan parser standar berdasarkan sifat permintaan dan tingkat dukungan Anda.
| Jenis Permintaan | Pelanggan Standar | Pelanggan Pakar / Pakar+ |
|---|---|---|
| Regresi / Kerusakan (Efek regresi utama pada penguraian) | Rollback atau perbaikan segera. | Rollback atau perbaikan segera. |
| Permintaan parser baru ATAU permintaan untuk format / skema log baru di parser yang ada | Dibuat sebagai parser default hanya jika diminta oleh >= 10 pelanggan, atau berdasarkan pertimbangan bisnis Google. Jika tidak, sistem akan merutekan permintaan ke jalur layanan mandiri atau partner / PSO. | Dibuat sebagai parser siap pakai default atau parser GitHub Google SecOps berdasarkan pertimbangan Google. |
| Kolom "Penting" Tidak Ada/Salah ATAU Kolom "Tidak Penting" Salah | Ditangani menggunakan antrean parser dan alat layanan mandiri (Upaya terbaik, tanpa SLO). | Diprioritaskan dalam antrean parser (SLO 6 minggu); menawarkan ekstensi untuk perbaikan segera jika diperlukan. |
| Kolom "Tidak Penting" Tidak Ada | Hanya layanan mandiri. Pelanggan harus menggunakan alat layanan mandiri (Ekstensi, Ekstraksi Otomatis) dan tidak membuka tiket dukungan. | Ditangani menggunakan antrean parser dan alat layanan mandiri. Dukungan intensif diberikan jika diperlukan. |
Parser Komunitas dan GitHub
Untuk menyediakan ekosistem yang lebih kaya dan lebih dinamis untuk penguraian log, Google SecOps mengelola repositori Google SecOps GitHub khusus.
Ekosistem open source ini memungkinkan partner, vendor, dan komunitas Google SecOps untuk berkontribusi dan mengelola parser. Logika ini memverifikasi bahwa bahkan produk komersial yang khusus atau sangat terspesialisasi dapat memiliki parser fungsional yang tersedia untuk deployment.
Parser Siap Pakai Penggunaan Rendah (Longtail): Untuk mempertahankan performa tinggi dan memfokuskan upaya teknik pada sumber data yang paling banyak digunakan, parser siap pakai yang digunakan oleh sejumlah kecil pelanggan dialihkan ke parser yang dikelola komunitas di GitHub.
- Google hanya merilis update penting (perubahan yang melanggar atau penurunan normalisasi yang parah untuk sebagian besar pelanggan yang menggunakannya) ke versi siap pakai dari parser penggunaan rendah ini.
- Semua peningkatan atau penambahan kolom baru yang tidak penting untuk parser ini akan dikontribusikan langsung ke versi GitHub. Pendekatan ini akan membuat parser ini menjadi open source dan memungkinkan kontribusi komunitas ke repositori.
- Pelanggan yang menggunakan parser ini sangat dianjurkan untuk bermigrasi ke versi GitHub agar mendapatkan manfaat dari peningkatan berkelanjutan yang dikontribusikan oleh komunitas dan Google, dan tidak membuka tiket dukungan untuk versi siap pakai.
Perbandingan antara varian parser yang berbeda
| Kriteria | Parser siap pakai (Parser standar premium + non-longtail) | Parser di GitHub - parser siap pakai longtail yang di-offload | Parser di GitHub - dibuat oleh komunitas / partner | Parser kustom |
|---|---|---|---|---|
| Kepemilikan | Dimiliki oleh Google | Awalnya dibuat oleh Google, lalu dimiliki oleh komunitas / partner (bergantung pada parser) | Dimiliki oleh komunitas / partner | Dimiliki oleh pelanggan |
| Deployment parser | Di-deploy secara otomatis | Pelanggan harus mengambil parser. | Pelanggan harus mengambil parser. | Di-deploy oleh pelanggan |
| Perubahan (versi parser) | Semua perubahan dilakukan oleh Google | Dimiliki oleh komunitas / partner. Google dapat berkontribusi kode jika relevan. | Perubahan dilakukan berdasarkan kontribusi komunitas / partner | Semua perubahan dilakukan oleh pelanggan |
| Dukungan untuk permintaan pengguna | Google mendukung permintaan: Premium - semua, Standar - fokus pada kolom UDM penting | Dikelola oleh komunitas / partner. Google dapat berkontribusi kode jika relevan. | Dikelola sepenuhnya oleh komunitas / partner | Dikelola sepenuhnya oleh pelanggan |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.