Raccogliere i log di Google SecOps SOAR
Puoi gestire e monitorare i log SOAR di Google Security Operations in Google Cloud Esplora log. Puoi anche utilizzare gli strumenti Google Cloud per configurare metriche e avvisi speciali che vengono attivati da eventi specifici nei log delle operazioni SOAR.
I log acquisiscono i dati essenziali dalle funzioni ETL, playbook e Python di SOAR. I tipi di dati acquisiti includono l'esecuzione di script Python, l'inserimento di avvisi e il rendimento dei playbook.
Accedere ai log di Google SecOps SOAR
I log di Google SecOps SOAR vengono scritti in uno spazio dei nomi separato denominato chronicle-soar e sono classificati in base al servizio che ha generato il log.
Per accedere ai log di Google SecOps SOAR:
- Nella console Google Cloud , vai a Logging > Esplora log.
- Seleziona il progetto Google SecOps Google Cloud .
Inserisci il seguente filtro nel campo e fai clic su Esegui query:
resource.labels.namespace_name="chronicle-soar"
Per filtrare i log di un servizio specifico, inserisci i seguenti filtri nella casella e fai clic su Esegui query:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"
dove i valori includono
playbook
,python
oetl
.
Etichette playbook
Le etichette dei log di Playbook forniscono un modo più efficiente e pratico per perfezionare l'ambito di una query. Tutte le etichette si trovano nella sezione delle etichette di ogni messaggio di log:
Per restringere l'ambito del log, espandi il messaggio di log, fai clic con il tasto destro del mouse su ogni etichetta e nascondi o mostra log specifici:
Sono disponibili le seguenti etichette:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Log Python
Per il servizio Python sono disponibili i seguenti log:
resource.labels.container_name="python"
Etichette di integrazione e connettore:
integration_name
integration_version
connector_name
connector_instance
Etichette dei job:
integration_name
integration_version
job_name
Etichette azione:
integration_name
integration_version
integration_instance
correlation_id
action_name
Log ETL
Per il servizio ETL sono disponibili i seguenti log:
resource.labels.container_name="etl"
Etichette ETL:
correlation_id
Ad esempio, per fornire il flusso di importazione per un avviso, filtra in base a
correlation_id
:
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.