Recopila registros de Google SecOps SOAR

Compatible con:

Puedes administrar y supervisar los registros de SOAR de Google Security Operations en el Google Cloud Explorador de registros. También puedes usar Google Cloud herramientas para configurar métricas y alertas especiales que se activen por eventos específicos en los registros de operaciones de SOAR.

Los registros capturan datos esenciales de las funciones de ETL, playbook y Python de SOAR. Los tipos de datos capturados incluyen la ejecución de secuencias de comandos de Python, la incorporación de alertas y el rendimiento de los cuadernos de estrategias.

Accede a los registros de Google SecOps SOAR

Los registros de SOAR de SecOps de Google se escriben en un espacio de nombres independiente llamado chronicle-soar y se categorizan según el servicio que generó el registro.

Para acceder a los registros de SOAR de Google SecOps, haz lo siguiente:

  1. En la consola de Google Cloud , ve a Logging > Explorador de registros.
  2. Selecciona el proyecto de Google SecOps Google Cloud .
  3. Ingresa el siguiente filtro en el campo y haz clic en Ejecutar consulta:

    resource.labels.namespace_name="chronicle-soar"
    

    Proporciona texto relevante sobre la imagen aquí.

  4. Para filtrar los registros de un servicio específico, ingresa los siguientes filtros en el cuadro y haz clic en Ejecutar consulta:

        resource.labels.namespace_name="chronicle-soar" 
        resource.labels.container_name="<container_name>" 
    

    donde los valores incluyen playbook, python o etl.

Etiquetas de la guía

Las etiquetas de registro del cuaderno de estrategias proporcionan una forma más eficiente y conveniente de definir mejor el alcance de una consulta. Todas las etiquetas se encuentran en la sección de etiquetas de cada mensaje de registro:

Registra etiquetas en los mensajes.

Para reducir el alcance del registro, expande el mensaje de registro, haz clic con el botón derecho en cada etiqueta y oculta o muestra registros específicos:

Proporciona texto relevante sobre la imagen aquí.

Las siguientes etiquetas están disponibles:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registros de Python

Los siguientes registros están disponibles para el servicio de Python:

resource.labels.container_name="python"

Etiquetas de Integration y Connector:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Etiquetas de trabajo:

  • integration_name
  • integration_version
  • job_name

Etiquetas de acción:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registros de ETL

Los siguientes registros están disponibles para el servicio de ETL:

resource.labels.container_name="etl"

Etiquetas de ETL:

  • correlation_id

Por ejemplo, para proporcionar el flujo de transferencia de una alerta, filtra por correlation_id:

Es el filtro de registros de transferencia de ETL.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.