Collecter les journaux SOAR de Google SecOps

Compatible avec:

Vous pouvez gérer et surveiller les journaux SOAR de Google Security Operations dans l'explorateur de journauxGoogle Cloud . Vous pouvez également utiliser des outils Google Cloud pour configurer des métriques et des alertes spéciales déclenchées par des événements spécifiques dans vos journaux d'opérations SOAR.

Les journaux capturent les données essentielles des fonctions ETL, playbook et Python de SOAR. Les types de données capturées incluent l'exécution de scripts Python, l'ingestion d'alertes et les performances des playbooks.

Accéder aux journaux SOAR Google SecOps

Les journaux SOAR Google SecOps sont écrits dans un espace de noms distinct appelé chronicle-soar et sont catégorisés par le service qui a généré le journal.

Pour accéder aux journaux SOAR Google SecOps, procédez comme suit:

  1. Dans la console Google Cloud, accédez à Journalisation > Explorateur de journaux.
  2. Sélectionnez le projet Google SecOps Google Cloud .

  3. Saisissez le filtre suivant dans le champ, puis cliquez sur Exécuter la requête : none resource.labels.namespace_name="chronicle-soar" Indiquez ici un texte pertinent sur l'image.

  4. Pour filtrer les journaux d'un service spécifique, saisissez les filtres suivants dans la zone, puis cliquez sur Exécuter la requête:

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

où les valeurs incluent playbook, python ou etl.

Libellés des playbooks

Les libellés de journal Playbook permettent d'affiner plus efficacement et plus facilement le champ d'application d'une requête. Toutes les étiquettes se trouvent dans la section "labels" de chaque message de journal:

Libellés de journal dans les messages.

Pour affiner la portée des journaux, développez le message de journal, cliquez avec le bouton droit sur chaque libellé, puis masquez ou affichez des journaux spécifiques:

Indiquez ici un texte pertinent sur l&#39;image.

Les libellés suivants sont disponibles:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Journaux Python

Les journaux suivants sont disponibles pour le service Python:

resource.labels.container_name="python"

Libellés d'intégration et de connecteur:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Libellés de tâches:

  • integration_name
  • integration_version
  • job_name

Libellés d'action:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Journaux ETL

Les journaux suivants sont disponibles pour le service ETL:

resource.labels.container_name="etl"

Libellés ETL:

  • correlation_id

Par exemple, pour fournir le flux d'ingestion d'une alerte, filtrez par correlation_id:

Filtre des journaux d&#39;ingestion ETL.