Política de suporte ao analisador padrão
O Google SecOps oferece uma ampla variedade de analisadores padrão pré-criados e prontos para uso que ajudam você a ingerir e normalizar rapidamente registros de várias fontes de dados. Para verificar a estabilidade da plataforma, o desempenho previsível e a normalização de dados de alta qualidade, o Google SecOps usa um modelo de suporte focado para analisadores padrão.
Níveis de suporte do analisador
O Google SecOps oferece os seguintes níveis de suporte a analisadores:
| Tipo de analisador | Descrição e suporte |
|---|---|
| Analizadores premium | O Google SecOps oferece analisadores de alta qualidade das fontes de dados de alto volume mais usadas. Normalmente, o Google processa os pedidos de analisadores premium dos clientes em alguns dias. |
| Analistas padrão | Para outras fontes de dados compatíveis, o Google SecOps oferece suporte com base no melhor esforço. As solicitações de novos mapeamentos de campos são tratadas como solicitações de recursos e fazem parte do backlog do produto. Para atender às necessidades imediatas, use as extensões de analisador de autoatendimento e os recursos de extração automática. |
| Analisadores e extensões personalizados | O Google SecOps não oferece suporte para elas. Recomendamos que você gerencie isso de forma independente ou com a ajuda de parceiros do Google. |
Para uma lista completa de analisadores Premium e Standard, consulte Configuração padrão do analisador.
Para uma visão geral da análise de registros brutos no formato do modelo de dados unificado (UDM), consulte Visão geral da análise de registros.
Foco em campos importantes do UDM
Com mais de um milhão de campos distintos ingeridos em diferentes formatos de registro, o Google SecOps concentra os mapeamentos padrão do analisador nos dados de segurança mais críticos.
Os analisadores padrão são especificamente definidos para mapear os campos importantes do UDM. Esses campos representam os pontos de dados mais importantes necessários para uma detecção e um contexto de ameaças downstream eficazes. Para campos fora dessa lista principal, recomendamos que os clientes façam o mapeamento usando nosso conjunto abrangente de ferramentas de autoatendimento, como extensões do analisador e extração automática.
Níveis de suporte ao cliente
O suporte ao analisador e os SLOs são diferenciados com base no seu direito do Google SecOps:
- Clientes do Suporte Premium:clientes com direito a Expert ou Expert+.
- Clientes do Suporte Standard:clientes com direito ao Standard.
Matriz de solicitação do analisador padrão
O Google tria e processa solicitações padrão de analisador com base na natureza da solicitação e no seu nível de suporte.
| Tipo de solicitação | Clientes padrão | Clientes do Expert / Expert+ |
|---|---|---|
| Regressão / quebra (principais efeitos regressivos na análise) | Reversão ou correção imediata. | Reversão ou correção imediata. |
| Novas solicitações de analisador ou solicitações de um novo formato / esquema de registro em um analisador existente | Criado como um analisador padrão somente se solicitado por mais de 10 clientes ou com base no critério comercial do Google. Caso contrário, o sistema vai encaminhar a solicitação para caminhos de autoatendimento ou parceiro / PSO. | Criado como um analisador pré-criado padrão ou um analisador do GitHub do Google SecOps com base na discrição do Google. |
| Campos importantes ausentes/incorretos OU campos não importantes incorretos | Processado usando a fila do analisador e ferramentas de autoatendimento (da melhor maneira possível, sem SLO). | Priorizado na fila do analisador (SLO de 6 semanas); ofereça extensões para correção imediata, se necessário. |
| Não há "Campos não importantes" | Somente autoatendimento. Os clientes precisam usar ferramentas de autoatendimento (extensões, extração automática) em vez de abrir tíquetes de suporte. | Processamento usando a fila do analisador e ferramentas de autoatendimento. Suporte high touch (com interação humana) fornecido, se necessário. |
Analistas da comunidade e do GitHub
Para oferecer um ecossistema mais rico e dinâmico para a análise de registros, o Google SecOps mantém um repositório dedicado do GitHub do Google SecOps.
Esse ecossistema de código aberto permite que parceiros, fornecedores e a comunidade do Google SecOps contribuam e mantenham analisadores. Essa lógica verifica se até mesmo produtos comerciais de nicho ou altamente especializados podem ter analisadores funcionais disponíveis para implantação.
Analisadores predefinidos de baixo uso (longtail):para manter o alto desempenho e concentrar os esforços de engenharia nas fontes de dados mais usadas, os analisadores predefinidos usados por um pequeno número de clientes são transferidos para analisadores mantidos pela comunidade no GitHub.
- O Google lança apenas atualizações críticas (mudanças incompatíveis ou degradação grave da normalização para a maioria dos clientes que usam) nas versões pré-criadas desses analisadores de baixo uso.
- Todas as melhorias ou adições de campo novas e não críticas para esses analisadores serão enviadas diretamente para a versão do GitHub. Essa abordagem vai abrir o código-fonte desses analisadores e permitir a contribuição da comunidade para o repositório.
- Recomendamos que os clientes que usam esses analisadores façam a migração para a versão do GitHub para aproveitar as melhorias contínuas da comunidade e do Google, em vez de abrir tíquetes de suporte para a versão pré-criada.
Comparação entre as diferentes variantes de analisador
| Critérios | Analisadores predefinidos (Premium + analisadores padrão não longtail) | Analistas no GitHub: analistas pré-criados de cauda longa descarregados | Analisadores no GitHub: criados pela comunidade / parceiros | Analisadores personalizados |
|---|---|---|---|---|
| Propriedade | Propriedade do Google | Criação inicial pelo Google e depois propriedade da comunidade / parceiro (depende do analisador) | Pertence à comunidade / parceiro | De propriedade do cliente |
| Implantação do analisador | Implantado automaticamente | O cliente precisa extrair o analisador. | O cliente precisa extrair o analisador. | Implantações de clientes |
| Mudanças (versões do analisador) | Todas as mudanças feitas pelo Google | Propriedade da comunidade / parceiro. O Google pode contribuir com código quando relevante. | Mudanças feitas com base na contribuição da comunidade / parceiro | Todas as mudanças feitas pelo cliente |
| Suporte para solicitações de usuários | O Google aceita as solicitações: Premium – todas, Standard – foco em campos importantes do UDM | Mantido pela comunidade / parceiro. O Google pode contribuir com código quando relevante. | Totalmente mantido pela comunidade / parceiro | Totalmente mantido pelo cliente |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.