표준 파서 지원 정책
Google SecOps는 다양한 데이터 소스의 로그를 신속하게 수집하고 정규화할 수 있도록 다양한 사전 제작된 기본 파서를 제공합니다. 플랫폼 안정성, 예측 가능한 성능, 고품질 데이터 정규화를 검증하기 위해 Google SecOps는 표준 파서에 집중 지원 모델을 사용합니다.
파서 지원 수준
Google SecOps는 다음과 같은 수준의 파서 지원을 제공합니다.
| 파서 유형 | 설명 및 지원 |
|---|---|
| 프리미엄 파서 | Google SecOps는 가장 널리 사용되는 대량 데이터 소스의 고품질 파서를 제공합니다. Google에서는 일반적으로 프리미엄 파서에 대한 고객 요청을 며칠 이내에 처리합니다. |
| 표준 파서 | 지원되는 다른 데이터 소스의 경우 Google SecOps에서 최선의 지원을 제공합니다. 새 필드 매핑 요청은 기능 요청으로 처리되며 제품 백로그의 일부입니다. 즉각적인 요구사항을 충족하려면 셀프 서비스 파서 확장 프로그램과 자동 추출 기능을 사용하면 됩니다. |
| 맞춤 빌드 파서 및 확장 프로그램 | Google SecOps는 이러한 통합을 지원하지 않습니다. 이러한 작업은 독립적으로 또는 Google 파트너의 지원을 받아 관리하는 것이 좋습니다. |
Premium 및 Standard 파서의 전체 목록은 기본 파서 구성을 참고하세요.
원시 로그를 통합 데이터 모델 (UDM) 형식으로 파싱하는 개요는 로그 파싱 개요를 참고하세요.
중요한 UDM 필드에 집중
다양한 로그 형식으로 수집되는 100만 개 이상의 고유한 필드를 통해 Google SecOps는 가장 중요한 보안 데이터에 표준 파서 기본 매핑을 집중합니다.
표준 파서는 중요한 UDM 필드를 매핑하도록 특별히 범위가 지정됩니다. 이러한 필드는 효과적인 다운스트림 위협 감지 및 컨텍스트에 필요한 가장 중요한 데이터 포인트를 나타냅니다. 이 핵심 목록에 포함되지 않는 필드의 경우 파서 확장 프로그램, 자동 추출과 같은 포괄적인 셀프 서비스 도구 모음을 사용하여 매핑하는 것이 좋습니다.
고객 지원 등급
파서 지원 및 SLO는 Google SecOps 권한에 따라 차별화됩니다.
- 프리미엄 지원 고객: 전문가 또는 전문가+ 권한을 보유한 고객
- 스탠더드 지원 고객: 스탠더드 권한이 있는 고객
표준 파서 요청 매트릭스
Google에서는 요청의 성격과 지원 등급에 따라 표준 파서 요청을 분류하고 처리합니다.
| 요청 유형 | Standard Customers(표준 고객) | Expert / Expert+ 고객 |
|---|---|---|
| 회귀 / 손상 (파싱에 심각한 회귀 효과) | 즉시 롤백 또는 수정 | 즉시 롤백 또는 수정 |
| 새 파서 요청 또는 기존 파서의 새 로그 형식 / 스키마 요청 | 10명 이상의 고객이 요청하거나 Google 비즈니스 재량에 따라 기본 파서로 빌드됩니다. 그렇지 않으면 시스템에서 요청을 셀프 서비스 또는 파트너 / PSO 경로로 라우팅합니다. | Google의 재량에 따라 기본 사전 빌드된 파서 또는 Google SecOps GitHub 파서로 빌드됩니다. |
| '중요 필드'가 누락되었거나 잘못되었거나 '중요하지 않은 필드'가 잘못됨 | 파서 대기열 및 셀프 서비스 도구를 사용하여 처리됩니다 (최선을 다함, SLO 없음). | 파서 대기열에서 우선순위가 지정됩니다 (6주 SLO). 필요한 경우 즉시 수정할 수 있도록 연장을 제안합니다. |
| '중요하지 않은 필드'가 누락됨 | 셀프 서비스만 해당됩니다. 고객은 지원 티켓을 여는 대신 셀프 서비스 도구 (확장 프로그램, 자동 추출)를 사용해야 합니다. | 파서 대기열 및 셀프 서비스 도구를 사용하여 처리합니다. 필요한 경우 하이터치 지원이 제공됩니다. |
커뮤니티 및 GitHub 파서
로그 파싱을 위한 더 풍부하고 활기찬 생태계를 제공하기 위해 Google SecOps는 전용 Google SecOps GitHub 저장소를 유지관리합니다.
이 오픈소스 생태계를 통해 파트너, 공급업체, Google SecOps 커뮤니티가 파서를 제공하고 유지관리할 수 있습니다. 이 로직은 틈새 시장 또는 고도로 전문화된 상업용 제품에도 배포에 사용할 수 있는 파서가 있는지 확인합니다.
사용량이 적은 (롱테일) 사전 빌드 파서: 높은 성능을 유지하고 엔지니어링 노력을 가장 널리 사용되는 데이터 소스에 집중하기 위해 소수의 고객이 사용하는 사전 빌드 파서는 GitHub의 커뮤니티 유지관리 파서로 전환됩니다.
- Google은 사용량이 적은 이러한 파서의 사전 빌드 버전에 심각한 업데이트 (대부분의 고객에게 호환성이 깨지는 변경사항 또는 심각한 정규화 저하)만 출시합니다.
- 이러한 파서의 중요하지 않은 새로운 개선사항이나 필드 추가는 모두 GitHub 버전에 직접 제공됩니다. 이 접근 방식을 사용하면 이러한 파서가 오픈소스로 제공되며 커뮤니티에서 저장소에 기여할 수 있습니다.
- 이러한 파서를 사용하는 고객은 사전 빌드 버전의 지원 티켓을 여는 대신 GitHub 버전으로 이전하여 지속적인 커뮤니티 및 Google 기여 개선사항을 활용하는 것이 좋습니다.
다양한 파서 변형 간 비교
| 기준 | 사전 빌드된 파서 (Premium 및 비롱테일 표준 파서) | GitHub의 파서 - 오프로드된 롱테일 사전 빌드 파서 | GitHub의 파서 - 커뮤니티 / 파트너 생성 | 맞춤 파서 |
|---|---|---|---|---|
| 소유권 | Google 소유 | Google에서 초기 생성 후 커뮤니티 / 파트너 소유 (파서에 따라 다름) | 커뮤니티 / 파트너 소유 | 고객 소유 |
| 파서 배포 | 자동으로 배포됨 | 고객이 파서를 가져와야 합니다. | 고객이 파서를 가져와야 합니다. | 고객 배포 |
| 변경사항 (파서 버전) | Google에서 수행한 모든 변경사항 | 커뮤니티 / 파트너 소유 Google은 관련이 있는 경우 코드를 제공할 수 있습니다. | 커뮤니티 / 파트너의 기여를 기반으로 변경됨 | 고객이 수행한 모든 변경사항 |
| 사용자 요청 지원 | Google은 요청을 지원합니다. Premium - 모두, Standard - 중요한 UDM 필드에 집중 | 커뮤니티 / 파트너가 유지관리합니다. Google은 관련이 있는 경우 코드를 제공할 수 있습니다. | 커뮤니티 / 파트너가 완전히 유지관리 | 고객이 완전히 유지관리함 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.