Google SecOps SOAR-Protokolle erfassen

Unterstützt in:

Sie können Google Security Operations SOAR-Logs im Google Cloud Log-Explorer verwalten und überwachen. Sie können auch Google Cloud Tools verwenden, um spezielle Messwerte und Benachrichtigungen einzurichten, die durch bestimmte Ereignisse in Ihren SOAR-Vorgangsprotokollen ausgelöst werden.

Die Logs enthalten wichtige Daten aus den ETL-, Playbook- und Python-Funktionen von SOAR. Zu den erfassten Daten gehören die Ausführung von Python-Skripts, die Aufnahme von Benachrichtigungen und die Playbook-Leistung.

Auf Google SecOps SOAR-Logs zugreifen

Google SecOps SOAR-Logs werden in einen separaten Namespace namens chronicle-soar geschrieben und nach dem Dienst kategorisiert, der das Log generiert hat.

So greifen Sie auf Google SecOps SOAR-Logs zu:

  1. Rufen Sie in der Google Cloud Console Logging > Log-Explorer auf.
  2. Wählen Sie das Google SecOps-Projekt Google Cloud aus.
  3. Geben Sie den folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:

    resource.labels.namespace_name="chronicle-soar"
    

    Geben Sie hier relevanten Text zum Bild ein.

  4. Wenn Sie Logs eines bestimmten Dienstes filtern möchten, geben Sie die folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:

        resource.labels.namespace_name="chronicle-soar" 
        resource.labels.container_name="<container_name>" 
    

    Die Werte umfassen playbook, python oder etl.

Playbook-Labels

Mit Playbook-Loglabels lässt sich der Umfang einer Abfrage effizienter und bequemer eingrenzen. Alle Labels befinden sich im Label-Abschnitt jeder Log-Nachricht:

Log-Labels in Nachrichten.

Wenn Sie den Logbereich eingrenzen möchten, maximieren Sie die Lognachricht, klicken Sie mit der rechten Maustaste auf die einzelnen Labels und blenden Sie bestimmte Logs ein oder aus:

Geben Sie hier relevanten Text zum Bild ein.

Die folgenden Labels sind verfügbar:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python-Logs

Die folgenden Logs sind für den Python-Dienst verfügbar:

resource.labels.container_name="python"

Labels für Integrationen und Connectors:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Job-Labels:

  • integration_name
  • integration_version
  • job_name

Aktionslabels:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL-Logs

Die folgenden Logs sind für den ETL-Dienst verfügbar:

resource.labels.container_name="etl"

ETL-Labels:

  • correlation_id

Wenn Sie beispielsweise den Erfassungsablauf für eine Benachrichtigung angeben möchten, filtern Sie nach correlation_id:

Filter für ETL-Aufnahmelogs.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten