Google SecOps SOAR のログを収集する

以下でサポートされています。

Google Security Operations SOAR ログは、Google Cloud ログ エクスプローラで管理、モニタリングできます。また、 Google Cloud ツールを使用して、SOAR オペレーション ログ内の特定のイベントによってトリガーされる特別な指標とアラートを設定することもできます。

ログには、SOAR の ETL、プレイブック、Python 関数から重要なデータがキャプチャされます。キャプチャされるデータの種類には、Python スクリプトの実行、アラートの取り込み、プレイブックのパフォーマンスなどがあります。

Google SecOps SOAR ログにアクセスする

Google SecOps SOAR ログは、chronicle-soar という別の Namespace に書き込まれ、ログを生成したサービス別に分類されます。

Google SecOps SOAR ログにアクセスする手順は次のとおりです。

  1. Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] に移動します。
  2. Google SecOps Google Cloud プロジェクトを選択します。

  3. フィールドに次のフィルタを入力し、[クエリを実行] をクリックします。 none resource.labels.namespace_name="chronicle-soar" 画像に関する関連するテキストをここに入力します。

  4. 特定のサービスからのログをフィルタするには、ボックスに次のフィルタを入力し、[クエリを実行] をクリックします。

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

値には playbookpython、または etl が含まれます。

ハンドブックのラベル

Playbook ログラベルを使用すると、クエリ範囲をより効率的かつ便利に絞り込むことができます。すべてのラベルは、各ログメッセージのラベル セクションにあります。

メッセージのラベルをログに記録します。

ログスコープを絞り込むには、ログメッセージを展開し、各ラベルを右クリックして、特定のログを表示または非表示にします。

画像に関する関連するテキストをここに入力します。

次のラベルを使用できます。

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python ログ

Python サービスでは、次のログを使用できます。

resource.labels.container_name="python"

インテグレーションとコネクタのラベル:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

ジョブラベル:

  • integration_name
  • integration_version
  • job_name

アクション ラベル:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL ログ

ETL サービスでは、次のログを使用できます。

resource.labels.container_name="etl"

ETL ラベル:

  • correlation_id

たとえば、アラートの取り込みフローを指定するには、correlation_id でフィルタします。

ETL 取り込みログのフィルタ。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。