Collecter les journaux Google SecOps SOAR
Vous pouvez gérer et surveiller les journaux SOAR Google Security Operations dans l'explorateur de journauxGoogle Cloud . Vous pouvez également utiliser des outils Google Cloud pour configurer des métriques et des alertes spéciales qui sont déclenchées par des événements spécifiques dans les journaux d'opérations SOAR.
Les journaux capturent les données essentielles des fonctions ETL, playbook et Python de SOAR. Les types de données capturées incluent l'exécution de scripts Python, l'ingestion d'alertes et les performances des playbooks.
Accéder aux journaux Google SecOps SOAR
Les journaux Google SecOps SOAR sont écrits dans un espace de noms distinct appelé chronicle-soar et sont classés par service ayant généré le journal.
Pour accéder aux journaux Google SecOps SOAR, procédez comme suit :
- Dans la console Google Cloud , accédez à Journaux > Explorateur de journaux.
- Sélectionnez le projet Google SecOps Google Cloud .
Saisissez le filtre suivant dans le champ, puis cliquez sur Exécuter la requête :
resource.labels.namespace_name="chronicle-soar"
Pour filtrer les journaux d'un service spécifique, saisissez les filtres suivants dans la zone, puis cliquez sur Exécuter la requête :
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"
où les valeurs incluent
playbook
,python
ouetl
.
Libellés de playbook
Les libellés de journaux de playbooks permettent d'affiner plus efficacement et plus facilement le champ d'application d'une requête. Tous les libellés se trouvent dans la section des libellés de chaque message de journal :
Pour affiner le champ d'application du journal, développez le message du journal, effectuez un clic droit sur chaque libellé, puis masquez ou affichez des journaux spécifiques :
Les libellés suivants sont disponibles :
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Journaux Python
Les journaux suivants sont disponibles pour le service Python :
resource.labels.container_name="python"
Libellés d'intégration et de connecteur :
integration_name
integration_version
connector_name
connector_instance
Libellés de jobs :
integration_name
integration_version
job_name
Libellés d'action :
integration_name
integration_version
integration_instance
correlation_id
action_name
Journaux ETL
Les journaux suivants sont disponibles pour le service ETL :
resource.labels.container_name="etl"
Libellés ETL :
correlation_id
Par exemple, pour fournir le flux d'ingestion d'une alerte, filtrez par correlation_id
:
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.