Mengumpulkan log SOAR Google SecOps

Didukung di:

Anda dapat mengelola dan memantau log SOAR Google Security Operations di Google Cloud Logs Explorer. Anda juga dapat menggunakan alat Google Cloud untuk menyiapkan metrik dan pemberitahuan khusus yang dipicu oleh peristiwa tertentu dalam log operasi SOAR Anda.

Log ini mencatat data penting dari fungsi ETL, playbook, dan Python SOAR. Jenis data yang diambil mencakup menjalankan skrip Python, penyerapan pemberitahuan, dan performa playbook.

Mengakses log Google SecOps SOAR

Log SOAR SecOps Google ditulis dalam namespace terpisah yang disebut chronicle-soar dan dikategorikan berdasarkan layanan yang menghasilkan log.

Untuk mengakses log SOAR Google SecOps, lakukan hal berikut:

  1. Di konsol Google Cloud , buka Logging > Logs Explorer.
  2. Pilih project Google SecOps Google Cloud .
  3. Masukkan filter berikut di kolom, lalu klik Run Query:

    resource.labels.namespace_name="chronicle-soar"
    

    Berikan teks yang relevan tentang gambar di sini.

  4. Untuk memfilter log dari layanan tertentu, masukkan filter berikut di kotak, lalu klik Jalankan Kueri:

        resource.labels.namespace_name="chronicle-soar" 
        resource.labels.container_name="<container_name>" 
    

    dengan nilai yang mencakup playbook, python, atau etl.

Label playbook

Label log playbook memberikan cara yang lebih efisien dan mudah untuk mempersempit cakupan kueri. Semua label berada di bagian label setiap pesan log:

Mencatat label dalam pesan.

Untuk mempersempit cakupan log, luaskan pesan log, klik kanan setiap label, lalu sembunyikan atau tampilkan log tertentu:

Berikan teks yang relevan tentang gambar di sini.

Label berikut tersedia:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Log Python

Log berikut tersedia untuk layanan python:

resource.labels.container_name="python"

Label Integrasi dan Konektor:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Label tugas:

  • integration_name
  • integration_version
  • job_name

Label tindakan:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Log ETL

Log berikut tersedia untuk layanan ETL:

resource.labels.container_name="etl"

Label ETL:

  • correlation_id

Misalnya, untuk memberikan alur penyerapan pemberitahuan, filter menurut correlation_id:

Filter log penyerapan ETL.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.