Recopila registros de SOAR de Google SecOps
Puedes administrar y supervisar los registros de SOAR de Google Security Operations en el Google Cloud Explorador de registros. También puedes usar Google Cloud herramientas para configurar alertas y métricas especiales que se activan con eventos específicos en los registros de operaciones de SOAR.
Los registros capturan datos esenciales de las funciones de ETL, guía de referencia y Python de SOAR. Los tipos de datos capturados incluyen la ejecución de secuencias de comandos de Python, la transferencia de alertas y el rendimiento de los libros de jugadas.
Accede a los registros de SOAR de Google SecOps
Los registros de SOAR de Google SecOps se escriben en un espacio de nombres independiente llamado chronicle-soar y se clasifican según el servicio que generó el registro.
Para acceder a los registros de SOAR de Google SecOps, haz lo siguiente:
- En la consola de Google Cloud, ve a Registros > Explorador de registros.
- Selecciona el proyecto Google Cloud Google SecOps.
Ingresa el siguiente filtro en el campo y haz clic en Ejecutar consulta:
none resource.labels.namespace_name="chronicle-soar"
Para filtrar los registros de un servicio específico, ingresa los siguientes filtros en el cuadro y haz clic en Ejecutar consulta:
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<container_name>"
donde los valores incluyen playbook
, python
o etl
.
Etiquetas de las guías
Las etiquetas de registro de Playbook proporcionan una forma más eficiente y conveniente de definir mejor el alcance de una consulta. Todas las etiquetas se encuentran en la sección de etiquetas de cada mensaje de registro:
Para limitar el alcance del registro, expande el mensaje de registro, haz clic con el botón derecho en cada etiqueta y oculta o muestra registros específicos:
Las siguientes etiquetas están disponibles:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Registros de Python
Los siguientes registros están disponibles para el servicio de Python:
resource.labels.container_name="python"
Etiquetas de Integration y Connector:
integration_name
integration_version
connector_name
connector_instance
Etiquetas de trabajo:
integration_name
integration_version
job_name
Etiquetas de acción:
integration_name
integration_version
integration_instance
correlation_id
action_name
Registros de ETL
Los siguientes registros están disponibles para el servicio de ETL:
resource.labels.container_name="etl"
Etiquetas de ETL:
correlation_id
Por ejemplo, para proporcionar el flujo de transferencia de una alerta, filtra por correlation_id
: