Mengumpulkan log SOAR Google SecOps

Didukung di:

Anda dapat mengelola dan memantau log SOAR Google Security Operations di Google Cloud Logs Explorer. Anda juga dapat menggunakan alat Google Cloud untuk menyiapkan metrik dan pemberitahuan khusus yang dipicu oleh peristiwa tertentu dalam log operasi SOAR.

Log ini merekam data penting dari fungsi ETL, playbook, dan Python SOAR. Jenis data yang diambil mencakup pengoperasian skrip Python, penyerapan pemberitahuan, dan performa playbook.

Mengakses log Google SecOps SOAR

Log SOAR Google SecOps ditulis dalam namespace terpisah yang disebut chronicle-soar dan dikategorikan berdasarkan layanan yang menghasilkan log.

Untuk mengakses log SOAR Google SecOps, lakukan hal berikut:

  1. Di konsol Google Cloud, buka Logging > Logs Explorer.
  2. Pilih project Google SecOps Google Cloud .
  3. Masukkan filter berikut di kolom, lalu klik Run Query: none resource.labels.namespace_name="chronicle-soar" Berikan teks yang relevan tentang gambar di sini.

  4. Untuk memfilter log dari layanan tertentu, masukkan filter berikut di kotak, lalu klik Run Query:

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>" 

dengan nilai yang mencakup playbook, python, atau etl.

Label playbook

Label log Playbook memberikan cara yang lebih efisien dan praktis untuk menyaring cakupan kueri. Semua label berada di bagian label dari setiap pesan log:

Mencatat label dalam pesan.

Untuk mempersempit cakupan log, luaskan pesan log, klik kanan setiap label, lalu sembunyikan atau tampilkan log tertentu:

Berikan teks yang relevan tentang gambar di sini.

Label berikut tersedia:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Log Python

Log berikut tersedia untuk layanan python:

resource.labels.container_name="python"

Label Integrasi dan Konektor:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Label tugas:

  • integration_name
  • integration_version
  • job_name

Label tindakan:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Log ETL

Log berikut tersedia untuk layanan ETL:

resource.labels.container_name="etl"

Label ETL:

  • correlation_id

Misalnya, untuk memberikan alur penyerapan pemberitahuan, filter menurut correlation_id:

Filter log penyerapan ETL.