Google SecOps SOAR-Protokolle erfassen

Unterstützt in:

Sie können SOAR-Logs von Google Security Operations im Google Cloud Log-Explorer verwalten und überwachen. Sie können auch Google Cloud Tools verwenden, um spezielle Messwerte und Benachrichtigungen einzurichten, die durch bestimmte Ereignisse in Ihren SOAR-Ereignisprotokollen ausgelöst werden.

Die Protokolle erfassen wichtige Daten aus den ETL-, Playbook- und Python-Funktionen von SOAR. Zu den erfassten Daten gehören das Ausführen von Python-Scripts, die Aufnahme von Benachrichtigungen und die Leistung von Playbooks.

Auf Google SecOps SOAR-Logs zugreifen

Google SecOps SOAR-Logs werden in einem separaten Namespace namens chronicle-soar geschrieben und nach dem Dienst kategorisiert, der das Protokoll generiert hat.

So greifen Sie auf Google SecOps-SOAR-Logs zu:

  1. Klicken Sie in der Google Cloud Console auf Logging > Log-Explorer.
  2. Wählen Sie das Google SecOps- Google Cloud Projekt aus.

  3. Geben Sie den folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen: none resource.labels.namespace_name="chronicle-soar" Geben Sie hier einen relevanten Text zum Bild ein.

  4. Wenn Sie Logs von einem bestimmten Dienst filtern möchten, geben Sie die folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

und die Werte playbook, python oder etl enthalten.

Playbook-Labels

Playbook-Loglabels bieten eine effizientere und praktischere Möglichkeit, den Umfang einer Abfrage einzugrenzen. Alle Labels befinden sich im Bereich „Labels“ jeder Protokollnachricht:

Labels in Nachrichten protokollieren

Wenn Sie den Log-Umfang eingrenzen möchten, maximieren Sie die Lognachricht, klicken Sie mit der rechten Maustaste auf jedes Label und blenden Sie bestimmte Protokolle ein oder aus:

Geben Sie hier einen relevanten Text zum Bild ein.

Folgende Labels sind verfügbar:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python-Protokolle

Für den Python-Dienst sind die folgenden Protokolle verfügbar:

resource.labels.container_name="python"

Labels für Integrationen und Connectoren:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Job labels:

  • integration_name
  • integration_version
  • job_name

Aktionslabels:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL-Protokolle

Für den ETL-Dienst sind die folgenden Protokolle verfügbar:

resource.labels.container_name="etl"

ETL-Labels:

  • correlation_id

Wenn Sie beispielsweise den Datenaufnahmevorgang für eine Benachrichtigung angeben möchten, filtern Sie nach den folgenden Kriterien:correlation_id

Filter für ETL-Aufnahmeprotokolle.