Raccogliere i log di Google SecOps SOAR

Supportato in:

Puoi gestire e monitorare i log SOAR di Google Security Operations in Google Cloud Logs Explorer. Puoi anche utilizzare Google Cloud strumenti per configurare metriche e avvisi speciali che vengono attivati da eventi specifici nei log delle operazioni SOAR.

I log acquisiscono i dati essenziali dalle funzioni ETL, playbook e Python di SOAR. I tipi di dati acquisiti includono l'esecuzione di script Python, l'importazione di avvisi e il rendimento dei playbook.

Accedere ai log di Google SecOps SOAR

I log di Google SecOps SOAR vengono scritti in uno spazio dei nomi separato chiamato chronicle-soar e sono classificati in base al servizio che ha generato il log.

Per accedere ai log di Google SecOps SOAR:

  1. Nella console Google Cloud, vai a Logging > Esplora log.
  2. Seleziona il progetto Google Cloud Google SecOps.
  3. Inserisci il seguente filtro nel campo e fai clic su Esegui query: none resource.labels.namespace_name="chronicle-soar" Fornisci qui un testo pertinente sull'immagine.

  4. Per filtrare i log di un servizio specifico, inserisci i seguenti filtri nella casella e fai clic su Esegui query:

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>" 

dove i valori includono playbook, python o etl.

Etichette dei playbook

Le etichette dei log del playbook forniscono un modo più efficiente e pratico per perfezionare l'ambito di una query. Tutte le etichette si trovano nella sezione delle etichette di ogni messaggio del log:

Registra le etichette nei messaggi.

Per restringere l'ambito del log, espandi il messaggio del log, fai clic con il tasto destro del mouse su ogni etichetta e nascondi o mostra log specifici:

Fornisci qui un testo pertinente sull&#39;immagine.

Sono disponibili le seguenti etichette:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Log di Python

Per il servizio Python sono disponibili i seguenti log:

resource.labels.container_name="python"

Etichette di integrazione e connettore:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Etichette dei job:

  • integration_name
  • integration_version
  • job_name

Etichette di azione:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Log ETL

Per il servizio ETL sono disponibili i seguenti log:

resource.labels.container_name="etl"

Etichette ETL:

  • correlation_id

Ad esempio, per fornire il flusso di importazione di un avviso, filtra in base a correlation_id:

Filtro dei log di importazione ETL.