Google SecOps SOAR-Protokolle erfassen
Sie können SOAR-Logs von Google Security Operations im Google Cloud Log-Explorer verwalten und überwachen. Sie können auch Google Cloud Tools verwenden, um spezielle Messwerte und Benachrichtigungen einzurichten, die durch bestimmte Ereignisse in Ihren SOAR-Ereignisprotokollen ausgelöst werden.
Die Protokolle erfassen wichtige Daten aus den ETL-, Playbook- und Python-Funktionen von SOAR. Zu den erfassten Daten gehören das Ausführen von Python-Scripts, die Aufnahme von Benachrichtigungen und die Leistung von Playbooks.
Auf Google SecOps SOAR-Logs zugreifen
Google SecOps SOAR-Logs werden in einem separaten Namespace namens chronicle-soar geschrieben und nach dem Dienst kategorisiert, der das Protokoll generiert hat.
So greifen Sie auf Google SecOps-SOAR-Logs zu:
- Klicken Sie in der Google Cloud Console auf Logging > Log-Explorer.
- Wählen Sie das Google SecOps- Google Cloud Projekt aus.
Geben Sie den folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:
none resource.labels.namespace_name="chronicle-soar"
Wenn Sie Logs von einem bestimmten Dienst filtern möchten, geben Sie die folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<container_name>"
und die Werte playbook
, python
oder etl
enthalten.
Playbook-Labels
Playbook-Loglabels bieten eine effizientere und praktischere Möglichkeit, den Umfang einer Abfrage einzugrenzen. Alle Labels befinden sich im Bereich „Labels“ jeder Protokollnachricht:
Wenn Sie den Log-Umfang eingrenzen möchten, maximieren Sie die Lognachricht, klicken Sie mit der rechten Maustaste auf jedes Label und blenden Sie bestimmte Protokolle ein oder aus:
Folgende Labels sind verfügbar:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Python-Protokolle
Für den Python-Dienst sind die folgenden Protokolle verfügbar:
resource.labels.container_name="python"
Labels für Integrationen und Connectoren:
integration_name
integration_version
connector_name
connector_instance
Job labels:
integration_name
integration_version
job_name
Aktionslabels:
integration_name
integration_version
integration_instance
correlation_id
action_name
ETL-Protokolle
Für den ETL-Dienst sind die folgenden Protokolle verfügbar:
resource.labels.container_name="etl"
ETL-Labels:
correlation_id
Wenn Sie beispielsweise den Datenaufnahmevorgang für eine Benachrichtigung angeben möchten, filtern Sie nach den folgenden Kriterien:correlation_id