標準パーサーのサポート ポリシー
Google SecOps には、さまざまなデータソースからログを迅速に取り込んで正規化するのに役立つ、すぐに使用できる標準パーサーが幅広く用意されています。プラットフォームの安定性、予測可能なパフォーマンス、高品質のデータ正規化を検証するため、Google SecOps では Standard パーサーに重点を置いたサポートモデルを使用しています。
パーサーのサポートレベル
Google SecOps では、次のレベルのパーサー サポートが提供されています。
| パーサーのタイプ | 説明とサポート |
|---|---|
| プレミアム パーサー | Google SecOps は、最も広く使用されている大容量のデータソースから高品質のパーサーを提供します。通常、Google はプレミアム パーサーに関するお客様のリクエストを数日以内に処理します。 |
| 標準パーサー | サポートされている他のデータソースについては、Google SecOps はベスト エフォート型のサポートを提供します。新しいフィールド マッピングのリクエストは、機能リクエストとして処理され、プロダクト バックログの一部となります。緊急のニーズに対応するには、セルフサービス パーサー拡張機能と自動抽出機能を使用します。 |
| カスタム構築のパーサーと拡張機能 | Google SecOps はこれらのサポートを提供していません。この管理は、単独で行うか、Google パートナーのサポートを受けて行うことをおすすめします。 |
Premium パーサーと Standard パーサーの完全なリストについては、デフォルト パーサーの構成をご覧ください。
未加工ログを Unified Data Model(UDM)形式に解析する概要については、ログ解析の概要をご覧ください。
重要な UDM フィールドに焦点を当てる
Google SecOps は、さまざまなログ形式で取り込まれた 100 万を超える個別のフィールドを対象に、標準パーサーのデフォルト マッピングを最も重要なセキュリティ データに重点を置いています。
標準パーサーは、重要な UDM フィールドをマッピングするように特別にスコープ設定されています。これらのフィールドは、ダウンストリームの脅威検出とコンテキストを効果的に行うために必要な最も重要なデータポイントを表します。このコアリストに含まれないフィールドについては、パーサー拡張機能や自動抽出などの包括的なセルフサービス ツールを使用してマッピングすることを強くおすすめします。
カスタマー サポートの階層
パーサーのサポートと SLO は、Google SecOps の利用資格に基づいて区別されます。
- プレミアム サポートのお客様: Expert または Expert+ の利用資格をお持ちのお客様。
- スタンダード サポートのお客様: スタンダードの利用資格をお持ちのお客様。
標準パーサー リクエスト マトリックス
Google は、リクエストの内容とサポートレベルに基づいて、標準パーサー リクエストのトリアージと処理を行います。
| リクエストの種類 | Standard のお客様 | エキスパート / エキスパート+ のお客様 |
|---|---|---|
| 回帰 / 破損(解析に大きな回帰効果がある) | 直ちにロールバックまたは修正します。 | 直ちにロールバックまたは修正します。 |
| 新しいパーサーのリクエスト、または既存のパーサーの新しいログ形式 / スキーマのリクエスト | 10 人以上のお客様からリクエストがあった場合、または Google のビジネス上の裁量に基づいてのみ、デフォルトのパーサーとして構築されます。それ以外の場合、リクエストはセルフサービスまたはパートナー / PSO のパスに転送されます。 | Google の裁量に基づいて、デフォルトの事前構築済みパーサーまたは Google SecOps GitHub パーサーとして構築されます。 |
| 「重要なフィールド」が欠落している/正しくない、または「重要でないフィールド」が正しくない | パーサーキューとセルフサービス ツールを使用して処理されます(ベスト エフォート、SLO なし)。 | パーサーキューで優先順位付け(SLO は 6 週間)。必要に応じて、すぐに修正するための延長を提案します。 |
| 「重要でないフィールド」がありません | セルフサービスのみ。お客様は、サポート チケットを開くのではなく、セルフサービス ツール(拡張機能、自動抽出)を使用する必要があります。 | パーサーキューとセルフサービス ツールを使用して処理します。必要に応じてハイタッチ サポートを提供します。 |
コミュニティと GitHub のパーサー
ログ解析のためのより豊かで活気のあるエコシステムを提供するため、Google SecOps は専用の Google SecOps GitHub リポジトリを維持しています。
このオープンソース エコシステムにより、パートナー、ベンダー、Google SecOps コミュニティがパーサーの提供と保守を行うことができます。このロジックは、ニッチな商用プロダクトや高度に専門化された商用プロダクトでも、デプロイに使用できる機能的なパーサーを利用できることを検証します。
使用頻度の低い(ロングテール)事前構築済みパーサー: 高いパフォーマンスを維持し、エンジニアリングの取り組みを最も広く使用されているデータソースに集中させるため、使用頻度の低い事前構築済みパーサーは、GitHub のコミュニティ管理パーサーに移行されます。
- Google は、これらの使用頻度の低いパーサーのビルド済みバージョンに対して、重大な更新(使用しているお客様の大部分に影響する重大な正規化の低下または破壊的変更)のみをリリースします。
- これらのパーサーの重要でない新しい機能強化やフィールドの追加はすべて、GitHub バージョンに直接提供されます。このアプローチでは、これらのパーサーをオープンソース化し、コミュニティがリポジトリに貢献できるようにします。
- これらのパーサーを使用しているお客様は、プリビルド バージョンのサポート チケットを開くのではなく、GitHub バージョンに移行して、コミュニティと Google が継続的に提供する機能強化を利用することを強くおすすめします。
さまざまなパーサー バリアントの比較
| 条件 | 事前構築済みのパーサー(プレミアム パーサーと非ロングテール標準パーサー) | GitHub のパーサー - オフロードされたロングテール プリビルド パーサー | GitHub のパーサー - コミュニティ / パートナーが作成 | カスタム パーサー |
|---|---|---|---|---|
| Ownership | Google 所有 | Google が最初に作成し、その後コミュニティ / パートナーが所有(パーサーによって異なる) | コミュニティ / パートナー所有 | お客様所有 |
| パーサーのデプロイ | 自動的にデプロイされる | お客様がパーサーをプルする必要があります。 | お客様がパーサーをプルする必要があります。 | お客様がデプロイする |
| 変更(パーサー バージョン) | Google によるすべての変更 | コミュニティ / パートナー所有。Google は、関連するコードを投稿できます。 | コミュニティ / パートナーの貢献に基づいて行われた変更 | お客様が行ったすべての変更 |
| ユーザー リクエストのサポート | Google はリクエストをサポートしています。Premium - すべて、Standard - 重要な UDM フィールドに焦点を当てる | コミュニティ / パートナーが保守します。Google は、関連するコードを投稿できます。 | コミュニティ / パートナーが完全に保守 | お客様が完全に管理する |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。