Recoger registros de Google SecOps SOAR

Disponible en:

Puedes gestionar y monitorizar los registros de SOAR de Google Security Operations en el Google Cloud Explorador de registros. También puedes usar Google Cloud herramientas para configurar métricas y alertas especiales que se activen cuando se produzcan eventos específicos en los registros de operaciones de SOAR.

Los registros capturan datos esenciales de las funciones ETL, playbook y Python de SOAR. Entre los tipos de datos capturados se incluyen la ejecución de secuencias de comandos de Python, la ingestión de alertas y el rendimiento de los cuadernos de estrategias.

Acceder a los registros de Google SecOps SOAR

Los registros de SOAR de SecOps de Google se escriben en un espacio de nombres independiente llamado chronicle-soar y se clasifican por el servicio que generó el registro.

Para acceder a los registros de SOAR de Google SecOps, sigue estos pasos:

  1. En la Google Cloud consola, ve a Registro > Explorador de registros.
  2. Selecciona el proyecto de Google SecOps Google Cloud .

  3. Introduce el siguiente filtro en el campo y haz clic en Ejecutar consulta:

    resource.labels.namespace_name="chronicle-soar"

    Proporciona texto relevante sobre la imagen.

  4. Para filtrar los registros de un servicio específico, introduce los siguientes filtros en el cuadro y haz clic en Ejecutar consulta:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    donde los valores incluyen playbook, python o etl.

Etiquetas de guías

Las etiquetas de registro de Playbook ofrecen una forma más eficiente y cómoda de acotar una consulta. Todas las etiquetas se encuentran en la sección de etiquetas de cada mensaje de registro:

Registra etiquetas en los mensajes.

Para acotar el ámbito del registro, amplía el mensaje de registro, haz clic con el botón derecho en cada etiqueta y oculta o muestra registros específicos:

Proporciona texto relevante sobre la imagen.

Puede usar las siguientes etiquetas:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registros de Python

Los siguientes registros están disponibles para el servicio de Python:

resource.labels.container_name="python"

Etiquetas de integración y de conector:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Etiquetas de empleo:

  • integration_name
  • integration_version
  • job_name

Etiquetas de acción:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registros de ETL

Los siguientes registros están disponibles para el servicio ETL:

resource.labels.container_name="etl"

Etiquetas de ETL:

  • correlation_id

Por ejemplo, para proporcionar el flujo de ingestión de una alerta, filtre por correlation_id:

Filtro de registros de ingestión de ETL.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.