Google SecOps SOAR-Protokolle erfassen
Sie können Google Security Operations SOAR-Logs im Google Cloud Log-Explorer verwalten und überwachen. Sie können auch Google Cloud Tools verwenden, um spezielle Messwerte und Benachrichtigungen einzurichten, die durch bestimmte Ereignisse in Ihren SOAR-Vorgangsprotokollen ausgelöst werden.
Die Logs enthalten wichtige Daten aus den ETL-, Playbook- und Python-Funktionen von SOAR. Zu den erfassten Daten gehören die Ausführung von Python-Skripts, die Aufnahme von Benachrichtigungen und die Playbook-Leistung.
Auf Google SecOps SOAR-Logs zugreifen
Google SecOps SOAR-Logs werden in einen separaten Namespace namens chronicle-soar geschrieben und nach dem Dienst kategorisiert, der das Log generiert hat.
So greifen Sie auf Google SecOps SOAR-Logs zu:
- Rufen Sie in der Google Cloud Console Logging > Log-Explorer auf.
- Wählen Sie das Google SecOps-Projekt Google Cloud aus.
Geben Sie den folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:
resource.labels.namespace_name="chronicle-soar"
Wenn Sie Logs eines bestimmten Dienstes filtern möchten, geben Sie die folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"
Die Werte umfassen
playbook
,python
oderetl
.
Playbook-Labels
Mit Playbook-Loglabels lässt sich der Umfang einer Abfrage effizienter und bequemer eingrenzen. Alle Labels befinden sich im Label-Abschnitt jeder Log-Nachricht:
Wenn Sie den Logbereich eingrenzen möchten, maximieren Sie die Lognachricht, klicken Sie mit der rechten Maustaste auf die einzelnen Labels und blenden Sie bestimmte Logs ein oder aus:
Die folgenden Labels sind verfügbar:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Python-Logs
Die folgenden Logs sind für den Python-Dienst verfügbar:
resource.labels.container_name="python"
Labels für Integrationen und Connectors:
integration_name
integration_version
connector_name
connector_instance
Job-Labels:
integration_name
integration_version
job_name
Aktionslabels:
integration_name
integration_version
integration_instance
correlation_id
action_name
ETL-Logs
Die folgenden Logs sind für den ETL-Dienst verfügbar:
resource.labels.container_name="etl"
ETL-Labels:
correlation_id
Wenn Sie beispielsweise den Erfassungsablauf für eine Benachrichtigung angeben möchten, filtern Sie nach correlation_id
:
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten