Google SecOps SOAR のログを収集する
Google Security Operations SOAR ログは、Google Cloud ログ エクスプローラで管理、モニタリングできます。 Google Cloud ツールを使用して、SOAR オペレーション ログ内の特定のイベントによってトリガーされる特別な指標とアラートを設定することもできます。
ログには、SOAR の ETL、プレイブック、Python 関数から重要なデータがキャプチャされます。キャプチャされるデータの種類には、Python スクリプトの実行、アラートの取り込み、プレイブックのパフォーマンスなどがあります。
Google SecOps SOAR ログにアクセスする
Google SecOps SOAR ログは、chronicle-soar という別の Namespace に書き込まれ、ログを生成したサービス別に分類されます。
Google SecOps SOAR ログにアクセスする手順は次のとおりです。
- Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] に移動します。
- Google SecOps の Google Cloud プロジェクトを選択します。
フィールドに次のフィルタを入力し、[クエリを実行] をクリックします。
none resource.labels.namespace_name="chronicle-soar"
特定のサービスからのログをフィルタするには、ボックスに次のフィルタを入力し、[クエリを実行] をクリックします。
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<container_name>"
値に playbook
、python
、etl
が含まれている。
ハンドブック ラベル
Playbook ログラベルを使用すると、クエリ範囲をより効率的かつ便利に絞り込むことができます。すべてのラベルは、各ログ メッセージのラベル セクションにあります。
ログの範囲を絞り込むには、ログ メッセージを展開し、各ラベルを右クリックして、特定のログを表示または非表示にします。
次のラベルを使用できます。
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Python ログ
Python サービスでは、次のログを使用できます。
resource.labels.container_name="python"
インテグレーションとコネクタのラベル:
integration_name
integration_version
connector_name
connector_instance
ジョブラベル:
integration_name
integration_version
job_name
アクション ラベル:
integration_name
integration_version
integration_instance
correlation_id
action_name
ETL ログ
ETL サービスでは、次のログを使用できます。
resource.labels.container_name="etl"
ETL ラベル:
correlation_id
たとえば、アラートの取り込みフローを指定するには、correlation_id
でフィルタします。