Mengumpulkan log SOAR Google SecOps
Anda dapat mengelola dan memantau log SOAR Google Security Operations di Google Cloud Logs Explorer. Anda juga dapat menggunakan alat Google Cloud untuk menyiapkan metrik dan pemberitahuan khusus yang dipicu oleh peristiwa tertentu dalam log operasi SOAR.
Log ini merekam data penting dari fungsi ETL, playbook, dan Python SOAR. Jenis data yang diambil mencakup pengoperasian skrip Python, penyerapan pemberitahuan, dan performa playbook.
Mengakses log Google SecOps SOAR
Log SOAR Google SecOps ditulis dalam namespace terpisah yang disebut chronicle-soar dan dikategorikan berdasarkan layanan yang menghasilkan log.
Untuk mengakses log SOAR Google SecOps, lakukan hal berikut:
- Di konsol Google Cloud, buka Logging > Logs Explorer.
- Pilih project Google SecOps Google Cloud .
Masukkan filter berikut di kolom, lalu klik Run Query:
none resource.labels.namespace_name="chronicle-soar"
Untuk memfilter log dari layanan tertentu, masukkan filter berikut di kotak, lalu klik Run Query:
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<container_name>"
dengan nilai yang mencakup playbook
, python
, atau etl
.
Label playbook
Label log Playbook memberikan cara yang lebih efisien dan praktis untuk menyaring cakupan kueri. Semua label berada di bagian label dari setiap pesan log:
Untuk mempersempit cakupan log, luaskan pesan log, klik kanan setiap label, lalu sembunyikan atau tampilkan log tertentu:
Label berikut tersedia:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Log Python
Log berikut tersedia untuk layanan python:
resource.labels.container_name="python"
Label Integrasi dan Konektor:
integration_name
integration_version
connector_name
connector_instance
Label tugas:
integration_name
integration_version
job_name
Label tindakan:
integration_name
integration_version
integration_instance
correlation_id
action_name
Log ETL
Log berikut tersedia untuk layanan ETL:
resource.labels.container_name="etl"
Label ETL:
correlation_id
Misalnya, untuk memberikan alur penyerapan pemberitahuan, filter menurut
correlation_id
: