Collecter les journaux Google SecOps SOAR

Compatible avec :

Vous pouvez gérer et surveiller les journaux SOAR Google Security Operations dans l'explorateur de journauxGoogle Cloud . Vous pouvez également utiliser des outils Google Cloud pour configurer des métriques et des alertes spéciales qui sont déclenchées par des événements spécifiques dans les journaux d'opérations SOAR.

Les journaux capturent les données essentielles des fonctions ETL, playbook et Python de SOAR. Les types de données capturées incluent l'exécution de scripts Python, l'ingestion d'alertes et les performances des playbooks.

Accéder aux journaux Google SecOps SOAR

Les journaux Google SecOps SOAR sont écrits dans un espace de noms distinct appelé chronicle-soar et sont classés par service ayant généré le journal.

Pour accéder aux journaux Google SecOps SOAR, procédez comme suit :

  1. Dans la console Google Cloud , accédez à Journaux > Explorateur de journaux.
  2. Sélectionnez le projet Google SecOps Google Cloud .
  3. Saisissez le filtre suivant dans le champ, puis cliquez sur Exécuter la requête :

    resource.labels.namespace_name="chronicle-soar"
    

    Saisissez ici le texte pertinent concernant l'image.

  4. Pour filtrer les journaux d'un service spécifique, saisissez les filtres suivants dans la zone, puis cliquez sur Exécuter la requête :

        resource.labels.namespace_name="chronicle-soar" 
        resource.labels.container_name="<container_name>" 
    

    où les valeurs incluent playbook, python ou etl.

Libellés de playbook

Les libellés de journaux de playbooks permettent d'affiner plus efficacement et plus facilement le champ d'application d'une requête. Tous les libellés se trouvent dans la section des libellés de chaque message de journal :

Libellés de journaux dans les messages.

Pour affiner le champ d'application du journal, développez le message du journal, effectuez un clic droit sur chaque libellé, puis masquez ou affichez des journaux spécifiques :

Saisissez ici le texte pertinent concernant l&#39;image.

Les libellés suivants sont disponibles :

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Journaux Python

Les journaux suivants sont disponibles pour le service Python :

resource.labels.container_name="python"

Libellés d'intégration et de connecteur :

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Libellés de jobs :

  • integration_name
  • integration_version
  • job_name

Libellés d'action :

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Journaux ETL

Les journaux suivants sont disponibles pour le service ETL :

resource.labels.container_name="etl"

Libellés ETL :

  • correlation_id

Par exemple, pour fournir le flux d'ingestion d'une alerte, filtrez par correlation_id :

Filtre des journaux d&#39;ingestion ETL.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.