Recopila registros de SOAR de Google SecOps

Compatible con:

Puedes administrar y supervisar los registros de SOAR de Google Security Operations en el Google Cloud Explorador de registros. También puedes usar Google Cloud herramientas para configurar alertas y métricas especiales que se activan con eventos específicos en los registros de operaciones de SOAR.

Los registros capturan datos esenciales de las funciones de ETL, guía de referencia y Python de SOAR. Los tipos de datos capturados incluyen la ejecución de secuencias de comandos de Python, la transferencia de alertas y el rendimiento de los libros de jugadas.

Accede a los registros de SOAR de Google SecOps

Los registros de SOAR de Google SecOps se escriben en un espacio de nombres independiente llamado chronicle-soar y se clasifican según el servicio que generó el registro.

Para acceder a los registros de SOAR de Google SecOps, haz lo siguiente:

  1. En la consola de Google Cloud, ve a Registros > Explorador de registros.
  2. Selecciona el proyecto Google Cloud Google SecOps.
  3. Ingresa el siguiente filtro en el campo y haz clic en Ejecutar consulta: none resource.labels.namespace_name="chronicle-soar" Proporciona texto relevante sobre la imagen aquí.

  4. Para filtrar los registros de un servicio específico, ingresa los siguientes filtros en el cuadro y haz clic en Ejecutar consulta:

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>" 

donde los valores incluyen playbook, python o etl.

Etiquetas de las guías

Las etiquetas de registro de Playbook proporcionan una forma más eficiente y conveniente de definir mejor el alcance de una consulta. Todas las etiquetas se encuentran en la sección de etiquetas de cada mensaje de registro:

Etiquetas de registro en los mensajes

Para limitar el alcance del registro, expande el mensaje de registro, haz clic con el botón derecho en cada etiqueta y oculta o muestra registros específicos:

Proporciona texto relevante sobre la imagen aquí.

Las siguientes etiquetas están disponibles:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registros de Python

Los siguientes registros están disponibles para el servicio de Python:

resource.labels.container_name="python"

Etiquetas de Integration y Connector:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Etiquetas de trabajo:

  • integration_name
  • integration_version
  • job_name

Etiquetas de acción:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registros de ETL

Los siguientes registros están disponibles para el servicio de ETL:

resource.labels.container_name="etl"

Etiquetas de ETL:

  • correlation_id

Por ejemplo, para proporcionar el flujo de transferencia de una alerta, filtra por correlation_id:

Filtro de registros de transferencia de ETL.