Criteri di supporto per l'analizzatore sintattico standard
Google SecOps fornisce un'ampia gamma di parser standard predefiniti e pronti all'uso per aiutarti a importare e normalizzare rapidamente i log di varie origini dati. Per verificare la stabilità della piattaforma, le prestazioni prevedibili e la normalizzazione dei dati di alta qualità, Google SecOps utilizza un modello di assistenza mirato per i parser standard.
Livelli di supporto del parser
Google SecOps offre i seguenti livelli di supporto del parser:
| Tipo di parser | Descrizione e assistenza |
|---|---|
| Parser premium | Google SecOps fornisce parser di alta qualità dalle origini dati più utilizzate e con volumi elevati. In genere, Google elabora le richieste dei clienti per i parser premium entro pochi giorni. |
| Parser standard | Per le altre origini dati supportate, Google SecOps offre assistenza best effort. Le richieste di nuovi mapping dei campi vengono gestite come richieste di funzionalità e fanno parte del backlog del prodotto. Per soddisfare le esigenze immediate, puoi utilizzare le estensioni del parser self-service e le funzionalità di estrazione automatica. |
| Parser ed estensioni personalizzati | Google SecOps non offre assistenza per questi. Ti consigliamo di gestire questa attività in modo indipendente o con l'assistenza dei partner di Google. |
Per un elenco completo dei parser Premium e Standard, consulta Configurazione predefinita del parser.
Per una panoramica dell'analisi dei log non elaborati nel formato Unified Data Model (UDM), consulta Panoramica dell'analisi dei log.
Concentrati sui campi UDM importanti
Con oltre un milione di campi distinti inseriti in diversi formati di log, Google SecOps concentra i mapping predefiniti del parser standard sui dati di sicurezza più critici.
I parser standard sono specificamente inclusi nell'ambito della mappatura dei campi UDM importanti. Questi campi rappresentano i punti dati più critici necessari per un rilevamento e un contesto efficaci delle minacce downstream. Per tutti i campi al di fuori di questo elenco principale, consigliamo vivamente ai clienti di eseguirne la mappatura utilizzando la nostra suite completa di strumenti self-service, come le estensioni del parser e l'estrazione automatica.
Livelli di assistenza clienti
Il supporto del parser e gli SLO sono differenziati in base al tuo diritto a Google SecOps:
- Clienti con Assistenza Premium:clienti in possesso di un diritto Expert o Expert+.
- Clienti dell'Assistenza Standard: clienti con diritto Standard.
Matrice delle richieste del parser standard
Google esegue il triage e l'elaborazione delle richieste standard del parser in base alla natura della richiesta e al tuo livello di assistenza.
| Tipo di richiesta | Clienti standard | Clienti Expert / Expert+ |
|---|---|---|
| Regressione / Interruzione (effetti regressivi maggiori sull'analisi) | Rollback o correzione immediati. | Rollback o correzione immediati. |
| Nuove richieste di analisi O richieste di un nuovo formato / schema di log in un analizzatore esistente | Creato come parser predefinito solo se richiesto da almeno 10 clienti o a discrezione di Google. In caso contrario, il sistema instrada la richiesta verso percorsi self-service o partner / PSO. | Creato come parser predefinito precompilato o come parser GitHub di Google SecOps a discrezione di Google. |
| "Campi importanti" mancanti/errati O "Campi non importanti" errati | Gestito utilizzando la coda del parser e gli strumenti self-service (miglior sforzo, nessun SLO). | Priorità nella coda del parser (SLO di 6 settimane); estensioni dell'offerta per la correzione immediata, se necessario. |
| Manca "Campi non importanti" | Solo self-service. I clienti devono utilizzare strumenti self-service (estensioni, estrazione automatica) anziché aprire ticket di assistenza. | Gestisci l'utilizzo della coda del parser e degli strumenti self-service. Se necessario, viene fornita assistenza high-touch. |
Parser della community e di GitHub
Per fornire un ecosistema più ricco e vivace per l'analisi dei log, Google SecOps gestisce un repository GitHub di Google SecOps dedicato.
Questo ecosistema open source consente a partner, fornitori e alla community Google SecOps di contribuire e gestire i parser. Questa logica verifica che anche i prodotti commerciali di nicchia o altamente specializzati possano disporre di parser funzionali disponibili per il deployment.
Parser predefiniti a basso utilizzo (coda lunga):per mantenere prestazioni elevate e concentrare gli sforzi di ingegneria sulle origini dati più utilizzate, i parser predefiniti utilizzati da un numero ridotto di clienti vengono trasferiti nei parser gestiti dalla community su GitHub.
- Google rilascia solo aggiornamenti critici (modifiche che causano interruzioni o grave degrado della normalizzazione per la maggior parte dei clienti che lo utilizzano) per le versioni predefinite di questi analizzatori a basso utilizzo.
- Tutti i nuovi miglioramenti non critici o le aggiunte di campi per questi parser verranno aggiunti direttamente alla versione GitHub. Questo approccio renderà open source questi parser e consentirà il contributo della community al repository.
- I clienti che utilizzano questi analizzatori sono vivamente invitati a eseguire la migrazione alla versione GitHub per usufruire dei miglioramenti continui apportati dalla community e da Google, anziché aprire ticket di assistenza per la versione predefinita.
Confronto tra le diverse varianti del parser
| Criteri | Parser predefiniti (parser standard premium e non longtail) | Parser su GitHub: parser predefiniti long tail scaricati | Parser su GitHub creati dalla community o da partner | Parser personalizzati |
|---|---|---|---|---|
| Proprietà | Di proprietà di Google | Creazione iniziale da parte di Google e poi di proprietà della community / del partner (a seconda del parser) | Di proprietà della community / del partner | Di proprietà del cliente |
| Deployment del parser | Implementato automaticamente | Il cliente deve estrarre il parser. | Il cliente deve estrarre il parser. | Deployment dei clienti |
| Modifiche (versioni del parser) | Tutte le modifiche apportate da Google | Di proprietà della community / del partner. Google può contribuire con il codice, se pertinente. | Modifiche apportate in base al contributo della community / del partner | Tutte le modifiche apportate dal cliente |
| Assistenza per le richieste degli utenti | Google supporta le richieste: Premium - tutte, Standard - concentrati sui campi UDM importanti | Gestito dalla community / dal partner. Google può contribuire con il codice, se pertinente. | Completamente gestito dalla community / dal partner | Completamente gestito dal cliente |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.