Raccogliere i log di Google SecOps SOAR
Puoi gestire e monitorare i log SOAR di Google Security Operations in Google Cloud Logs Explorer. Puoi anche utilizzare Google Cloud strumenti per configurare metriche e avvisi speciali che vengono attivati da eventi specifici nei log delle operazioni SOAR.
I log acquisiscono i dati essenziali dalle funzioni ETL, playbook e Python di SOAR. I tipi di dati acquisiti includono l'esecuzione di script Python, l'importazione di avvisi e il rendimento dei playbook.
Accedere ai log di Google SecOps SOAR
I log di Google SecOps SOAR vengono scritti in uno spazio dei nomi separato chiamato chronicle-soar e sono classificati in base al servizio che ha generato il log.
Per accedere ai log di Google SecOps SOAR:
- Nella console Google Cloud, vai a Logging > Esplora log.
- Seleziona il progetto Google Cloud Google SecOps.
Inserisci il seguente filtro nel campo e fai clic su Esegui query:
none resource.labels.namespace_name="chronicle-soar"
Per filtrare i log di un servizio specifico, inserisci i seguenti filtri nella casella e fai clic su Esegui query:
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<container_name>"
dove i valori includono playbook
, python
o etl
.
Etichette dei playbook
Le etichette dei log del playbook forniscono un modo più efficiente e pratico per perfezionare l'ambito di una query. Tutte le etichette si trovano nella sezione delle etichette di ogni messaggio del log:
Per restringere l'ambito del log, espandi il messaggio del log, fai clic con il tasto destro del mouse su ogni etichetta e nascondi o mostra log specifici:
Sono disponibili le seguenti etichette:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Log di Python
Per il servizio Python sono disponibili i seguenti log:
resource.labels.container_name="python"
Etichette di integrazione e connettore:
integration_name
integration_version
connector_name
connector_instance
Etichette dei job:
integration_name
integration_version
job_name
Etichette di azione:
integration_name
integration_version
integration_instance
correlation_id
action_name
Log ETL
Per il servizio ETL sono disponibili i seguenti log:
resource.labels.container_name="etl"
Etichette ETL:
correlation_id
Ad esempio, per fornire il flusso di importazione di un avviso, filtra in base a
correlation_id
: