Recopila registros de Google SecOps SOAR
Puedes administrar y supervisar los registros de SOAR de Google Security Operations en el Google Cloud Explorador de registros. También puedes usar Google Cloud herramientas para configurar métricas y alertas especiales que se activen por eventos específicos en los registros de operaciones de SOAR.
Los registros capturan datos esenciales de las funciones de ETL, playbook y Python de SOAR. Los tipos de datos capturados incluyen la ejecución de secuencias de comandos de Python, la incorporación de alertas y el rendimiento de los cuadernos de estrategias.
Accede a los registros de Google SecOps SOAR
Los registros de SOAR de SecOps de Google se escriben en un espacio de nombres independiente llamado chronicle-soar y se categorizan según el servicio que generó el registro.
Para acceder a los registros de SOAR de Google SecOps, haz lo siguiente:
- En la consola de Google Cloud , ve a Logging > Explorador de registros.
- Selecciona el proyecto de Google SecOps Google Cloud .
Ingresa el siguiente filtro en el campo y haz clic en Ejecutar consulta:
resource.labels.namespace_name="chronicle-soar"
Para filtrar los registros de un servicio específico, ingresa los siguientes filtros en el cuadro y haz clic en Ejecutar consulta:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"
donde los valores incluyen
playbook
,python
oetl
.
Etiquetas de la guía
Las etiquetas de registro del cuaderno de estrategias proporcionan una forma más eficiente y conveniente de definir mejor el alcance de una consulta. Todas las etiquetas se encuentran en la sección de etiquetas de cada mensaje de registro:
Para reducir el alcance del registro, expande el mensaje de registro, haz clic con el botón derecho en cada etiqueta y oculta o muestra registros específicos:
Las siguientes etiquetas están disponibles:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Registros de Python
Los siguientes registros están disponibles para el servicio de Python:
resource.labels.container_name="python"
Etiquetas de Integration y Connector:
integration_name
integration_version
connector_name
connector_instance
Etiquetas de trabajo:
integration_name
integration_version
job_name
Etiquetas de acción:
integration_name
integration_version
integration_instance
correlation_id
action_name
Registros de ETL
Los siguientes registros están disponibles para el servicio de ETL:
resource.labels.container_name="etl"
Etiquetas de ETL:
correlation_id
Por ejemplo, para proporcionar el flujo de transferencia de una alerta, filtra por correlation_id
:
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.