Google SecOps SOAR のログを収集する

以下でサポートされています。

Google Security Operations SOAR ログは、Google Cloud ログ エクスプローラで管理、モニタリングできます。 Google Cloud ツールを使用して、SOAR オペレーション ログ内の特定のイベントによってトリガーされる特別な指標とアラートを設定することもできます。

ログには、SOAR の ETLプレイブックPython 関数から重要なデータがキャプチャされます。キャプチャされるデータの種類には、Python スクリプトの実行、アラートの取り込み、プレイブックのパフォーマンスなどがあります。

Google SecOps SOAR ログにアクセスする

Google SecOps SOAR ログは、chronicle-soar という別の Namespace に書き込まれ、ログを生成したサービス別に分類されます。

Google SecOps SOAR ログにアクセスする手順は次のとおりです。

  1. Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] に移動します。
  2. Google SecOps の Google Cloud プロジェクトを選択します。

  3. フィールドに次のフィルタを入力し、[クエリを実行] をクリックします。 none resource.labels.namespace_name="chronicle-soar" 画像に関する関連するテキストをここに入力します。

  4. 特定のサービスからのログをフィルタするには、ボックスに次のフィルタを入力し、[クエリを実行] をクリックします。

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

値に playbookpythonetl が含まれている。

ハンドブック ラベル

Playbook ログラベルを使用すると、クエリ範囲をより効率的かつ便利に絞り込むことができます。すべてのラベルは、各ログ メッセージのラベル セクションにあります。

メッセージのラベルをログに記録します。

ログの範囲を絞り込むには、ログ メッセージを展開し、各ラベルを右クリックして、特定のログを表示または非表示にします。

画像に関する関連するテキストをここに入力します。

次のラベルを使用できます。

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python ログ

Python サービスでは、次のログを使用できます。

resource.labels.container_name="python"

インテグレーションとコネクタのラベル:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

ジョブラベル:

  • integration_name
  • integration_version
  • job_name

アクション ラベル:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL ログ

ETL サービスでは、次のログを使用できます。

resource.labels.container_name="etl"

ETL ラベル:

  • correlation_id

たとえば、アラートの取り込みフローを指定するには、correlation_id でフィルタします。

ETL 取り込みログのフィルタ。