標準剖析器支援政策
Google SecOps 提供各種預先建構的標準剖析器,協助您快速擷取及正規化各種資料來源的記錄。為驗證平台穩定性、可預測的效能和高品質的資料正規化,Google SecOps 會針對標準剖析器採用專屬支援模式。
剖析器支援等級
Google SecOps 提供下列層級的剖析器支援:
| 剖析器類型 | 說明和支援 |
|---|---|
| 進階剖析器 | Google SecOps 提供最廣泛使用的高容量資料來源的高品質剖析器。Google 通常會在幾天內處理客戶的進階剖析器要求。 |
| 標準剖析器 | 對於其他支援的資料來源,Google SecOps 會盡力提供支援。新的欄位對應要求會視為功能要求,並納入產品待處理事項。如要滿足當下需求,可以使用自助式剖析器擴充功能和自動擷取功能。 |
| 自訂剖析器和擴充功能 | Google SecOps 不會為這些項目提供支援。建議您自行管理,或請 Google 合作夥伴協助管理。 |
如需 Premium 和 Standard 剖析器的完整清單,請參閱「預設剖析器設定」。
如要瞭解如何將原始記錄剖析為 Unified Data Model (UDM) 格式,請參閱「記錄剖析總覽」。
著重於重要的 UDM 欄位
Google SecOps 會擷取不同記錄格式中超過一百萬個不同的欄位,並將標準剖析器預設對應項的重點放在最重要的安全性資料上。
標準剖析器的範圍特別限定於對應重要 UDM 欄位。這些欄位代表有效下游威脅偵測和情境所需的關鍵資料點。如果欄位不在這個核心清單中,我們強烈建議客戶使用全套自助式工具 (例如剖析器擴充功能和自動擷取功能) 對應這些欄位。
客戶服務層級
系統會根據您的 Google SecOps 授權,提供不同的剖析器支援和 SLO:
- Premium 支援服務客戶:擁有 Expert 或 Expert+ 資格的客戶。
- Standard 支援服務客戶:擁有 Standard 授權的客戶。
標準剖析器要求矩陣
Google 會根據要求性質和支援層級,對標準剖析器要求進行分類和處理。
| 要求類型 | 標準客戶 | Expert / Expert+ 客戶 |
|---|---|---|
| 迴歸 / 中斷 (對剖析作業造成重大迴歸影響) | 立即復原或修正。 | 立即復原或修正。 |
| 新剖析器要求,或現有剖析器的新記錄格式 / 架構要求 | 只有在有 10 位以上客戶要求,或 Google 視情況決定時,才會建構預設剖析器。否則,系統會將要求轉送至自助服務或合作夥伴 / PSO 路徑。 | 根據 Google 的判斷,以預設預先建構的剖析器或 Google SecOps GitHub 剖析器建構。 |
| 缺少/錯誤的「重要欄位」或錯誤的「非重要欄位」 | 使用剖析器佇列和自助式工具處理 (依最大努力原則,無服務等級目標)。 | 在剖析器佇列中優先處理 (服務等級目標為 6 週);視需要提供擴充功能,以便立即修正。 |
| 缺少「非重要欄位」 | 僅限自助式服務。請使用自助式工具 (擴充功能、自動擷取),而非開啟支援單。 | 使用剖析器佇列和自助式工具處理。如有需要,我們會提供高互動支援。 |
社群和 GitHub 剖析器
為提供更豐富、更蓬勃的記錄剖析生態系統,Google SecOps 維護專屬的 Google SecOps GitHub 存放區。
這個開放原始碼生態系統可讓合作夥伴、供應商和 Google SecOps 社群貢獻及維護剖析器。這項邏輯可驗證即使是利基或高度專業的商業產品,也能部署可用的剖析器。
低用量 (長尾) 預先建構的剖析器:為維持高效能,並將工程資源集中在最廣泛使用的資料來源上,我們將低用量預先建構的剖析器移至 GitHub,由社群維護。
- Google 只會針對這些低用量剖析器的預先建構版本,發布重大更新 (對大多數使用這些剖析器的客戶而言,這類更新會造成重大變更或嚴重標準化降級)。
- 這些剖析器所有新的非重大強化功能或欄位新增內容,都會直接貢獻給 GitHub 版本。這種做法會開放這些剖析器的原始碼,並允許社群為存放區做出貢獻。
- 我們強烈建議使用這些剖析器的客戶遷移至 GitHub 版本,以享有社群和 Google 持續提供的強化功能,而非為預先建構的版本開啟支援單。
不同剖析器變體的比較
| 條件 | 預先建構的剖析器 (Premium + 非長尾標準剖析器) | GitHub 上的剖析器 - 卸載的長尾預先建構剖析器 | GitHub 上的剖析器 - 社群 / 合作夥伴建立 | 自訂剖析器 |
|---|---|---|---|---|
| 擁有權 | Google 自有 | 由 Google 初始建立,然後由社群 / 合作夥伴擁有 (取決於剖析器) | 社群 / 合作夥伴擁有 | 客戶擁有 |
| 剖析器部署 | 自動部署 | 顧客必須提取剖析器。 | 顧客必須提取剖析器。 | 客戶部署 |
| 變更 (剖析器版本) | Google 所做的所有變更 | 社群 / 合作夥伴擁有的內容。Google 可視情況提供程式碼。 | 根據社群 / 合作夥伴的貢獻內容進行變更 | 顧客所做的所有變更 |
| 支援使用者要求 | Google 支援的要求:Premium - 所有要求;Standard - 著重於重要的 UDM 欄位 | 由社群 / 合作夥伴維護。Google 可視情況提供程式碼。 | 由社群 / 合作夥伴全面維護 | 由客戶全面維護 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。