표준 파서 지원 정책
Google SecOps는 다양한 데이터 소스의 로그를 빠르게 수집하고 정규화하는 데 도움이 되는 다양한 사전 빌드된 기본 파서를 제공합니다. 플랫폼 안정성, 예측 가능한 성능, 고품질 데이터 정규화를 확인하기 위해 Google SecOps는 표준 파서에 집중 지원 모델을 사용합니다.
파서 지원 수준
Google SecOps는 다음과 같은 수준의 파서 지원을 제공합니다.
| 파서 유형 | 설명 및 지원 |
|---|---|
| 프리미엄 파서 | Google SecOps는 가장 널리 사용되는 대용량 데이터 소스의 고품질 파서를 제공합니다. Google은 일반적으로 프리미엄 파서에 대한 고객 요청을 며칠 이내에 처리합니다. |
| 표준 파서 | 지원되는 다른 데이터 소스의 경우 Google SecOps는 최선을 다해 지원합니다. 새 필드 매핑 요청은 기능 요청으로 처리되며 제품 백로그의 일부입니다. 즉각적인 요구사항을 충족하기 위해 셀프서비스 파서 확장 프로그램 및 자동 추출 기능을 사용할 수 있습니다. |
| 맞춤 빌드 파서 및 확장 프로그램 | Google SecOps는 이러한 기능을 지원하지 않습니다. 이러한 기능은 독립적으로 또는 Google 파트너의 지원을 받아 관리하는 것이 좋습니다. |
프리미엄 및 표준 파서의 전체 목록은 기본 파서 구성을 참조하세요.
원시 로그를 통합 데이터 모델 (UDM) 형식으로 파싱하는 방법에 대한 개요는 로그 파싱 개요를 참조하세요.
중요한 UDM 필드에 집중
Google SecOps는 다양한 로그 형식에서 수집된 100만 개 이상의 고유한 필드를 통해 가장 중요한 보안 데이터에 표준 파서 기본 매핑을 집중합니다.
표준 파서는 중요한 UDM 필드를 매핑하도록 특별히 범위가 지정됩니다. 이러한 필드는 효과적인 다운스트림 위협 감지 및 컨텍스트에 필요한 가장 중요한 데이터 포인트를 나타냅니다. 이 핵심 목록 외의 필드의 경우 고객은 파서 확장 프로그램 및 자동 추출과 같은 포괄적인 셀프서비스 도구 모음을 사용하여 이러한 필드를 매핑하는 것이 좋습니다.
고객 지원 등급
파서 지원 및 SLO는 Google SecOps 권한에 따라 차별화됩니다.
- 프리미엄 지원 고객: 전문가 또는 Expert+ 권한을 보유한 고객입니다.
- 스탠더드 지원 고객: 표준 권한을 보유한 고객입니다.
표준 파서 요청 매트릭스
Google은 요청의 특성과 지원 등급에 따라 표준 파서 요청의 우선순위를 지정하고 처리합니다.
| 요청 유형 | 표준 고객 | 전문가 / Expert+ 고객 |
|---|---|---|
| 회귀 / 손상 (파싱에 미치는 주요 회귀 효과) | 즉시 롤백 또는 수정합니다. | 즉시 롤백 또는 수정합니다. |
| 새 파서 요청 또는 기존 파서의 새 로그 형식 / 스키마 요청 | 10명 이상의 고객이 요청하거나 Google의 비즈니스 재량에 따라 기본 파서로 빌드됩니다. 그렇지 않으면 시스템에서 요청을 셀프서비스 또는 파트너 / PSO 경로로 라우팅합니다. | Google의 재량에 따라 기본 사전 빌드 파서 또는 Google SecOps GitHub 파서로 빌드됩니다. |
| '중요한 필드' 누락/잘못됨 또는 '중요하지 않은 필드' 잘못됨 | 파서 대기열 및 셀프서비스 도구를 사용하여 처리됩니다 (최선을 다해 지원, SLO 없음). | 파서 대기열에서 우선순위가 지정됩니다 (SLO 6주). 필요한 경우 즉시 수정을 위한 확장 프로그램을 제공합니다. |
| '중요하지 않은 필드' 누락 | 셀프서비스만 해당합니다. 고객은 지원 티켓을 열지 않고 셀프서비스 도구 (확장 프로그램, 자동 추출)를 사용해야 합니다. | 파서 대기열 및 셀프서비스 도구를 사용하여 처리합니다. 필요한 경우 하이 터치 지원이 제공됩니다. |
커뮤니티 및 GitHub 파서
로그 파싱을 위한 더 풍부하고 활기찬 생태계를 제공하기 위해 Google SecOps는 전용 Google SecOps GitHub 저장소를 유지관리합니다.
이 오픈소스 생태계를 통해 파트너, 공급업체, Google SecOps 커뮤니티가 파서를 제공하고 유지관리할 수 있습니다. 이 로직은 틈새시장 또는 고도로 전문화된 상용 제품에도 배포에 사용할 수 있는 기능 파서가 있음을 확인합니다.
사용량이 적은 (롱테일) 사전 빌드 파서: 높은 성능을 유지하고 가장 널리 사용되는 데이터 소스에 엔지니어링 노력을 집중하기 위해 적은 수의 고객이 사용하는 사전 빌드 파서는 GitHub의 커뮤니티 유지관리 파서로 전환됩니다.
- Google은 이러한 사용량이 적은 파서의 사전 빌드 버전에 중요한 업데이트 (대부분의 고객에게 영향을 미치는 변경사항 또는 심각한 정규화 저하)만 출시합니다.
- 이러한 파서의 모든 새로운 중요하지 않은 개선사항 또는 필드 추가는 GitHub 버전에 직접 제공됩니다. 이 접근 방식을 사용하면 이러한 파서를 오픈소스로 제공하고 커뮤니티가 저장소에 참여할 수 있습니다.
- 이러한 파서를 사용하는 고객은 사전 빌드 버전에 대한 지원 티켓을 열지 않고 GitHub 버전으로 이전하여 커뮤니티 및 Google에서 제공하는 지속적인 개선사항을 활용하는 것이 좋습니다.
다양한 파서 변형 간 비교
| 기준 | 사전 빌드 파서 (프리미엄 + 롱테일이 아닌 표준 파서) | GitHub의 파서 - 오프로드된 롱테일 사전 빌드 파서 | GitHub의 파서 - 커뮤니티 / 파트너 생성 | 커스텀 파서 |
|---|---|---|---|---|
| 소유권 | Google 소유 | Google에서 초기 생성 후 커뮤니티 / 파트너 소유 (파서에 따라 다름) | 커뮤니티 / 파트너 소유 | 고객 소유 |
| 파서 배포 | 자동으로 배포됨 | 고객이 파서를 가져와야 합니다. | 고객이 파서를 가져와야 합니다. | 고객이 배포함 |
| 변경사항 (파서 버전) | Google에서 모든 변경사항을 적용함 | 커뮤니티 / 파트너 소유입니다. Google은 관련 코드를 제공할 수 있습니다. | 커뮤니티 / 파트너 참여를 기반으로 변경사항이 적용됨 | 고객이 모든 변경사항을 적용함 |
| 사용자 요청 지원 | Google은 요청을 지원합니다. 프리미엄 - 모두, 표준 - 중요한 UDM 필드에 집중 | 커뮤니티 / 파트너에서 유지관리합니다. Google은 관련 코드를 제공할 수 있습니다. | 커뮤니티 / 파트너에서 완전히 유지관리함 | 고객이 완전히 유지관리함 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.