Recolha registos do Google SecOps SOAR

Compatível com:

Pode gerir e monitorizar os registos SOAR do Google Security Operations no Google Cloud Explorador de registos. Também pode usar Google Cloud ferramentas para configurar métricas e alertas especiais que são acionados por eventos específicos nos registos de operações SOAR.

Os registos capturam dados essenciais das funções ETL, playbook e Python do SOAR. Os tipos de dados capturados incluem a execução de scripts Python, o carregamento de alertas e o desempenho dos manuais de procedimentos.

Aceda aos registos do Google SecOps SOAR

Os registos do SOAR do Google SecOps são escritos num espaço de nomes separado denominado chronicle-soar e são categorizados pelo serviço que gerou o registo.

Para aceder aos registos do SOAR do Google SecOps, faça o seguinte:

  1. Na Google Cloud consola, aceda a Registo > Explorador de registos.
  2. Selecione o projeto do Google SecOps Google Cloud .

  3. Introduza o seguinte filtro no campo e clique em Executar consulta:

    resource.labels.namespace_name="chronicle-soar"

    Forneça texto relevante sobre a imagem aqui.

  4. Para filtrar registos de um serviço específico, introduza os seguintes filtros na caixa e clique em Executar consulta:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    em que os valores incluem playbook, python ou etl.

Etiquetas de guias interativos

As etiquetas de registo do Playbook oferecem uma forma mais eficiente e conveniente de refinar o âmbito de uma consulta. Todas as etiquetas estão localizadas na secção de etiquetas de cada mensagem de registo:

Registar etiquetas em mensagens.

Para restringir o âmbito do registo, expanda a mensagem de registo, clique com o botão direito do rato em cada etiqueta e oculte ou mostre registos específicos:

Forneça texto relevante sobre a imagem aqui.

Estão disponíveis as seguintes etiquetas:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registos Python

Os seguintes registos estão disponíveis para o serviço Python:

resource.labels.container_name="python"

Etiquetas de integração e conetor:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Etiquetas de tarefas:

  • integration_name
  • integration_version
  • job_name

Etiquetas de ações:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registos de ETL

Os seguintes registos estão disponíveis para o serviço ETL:

resource.labels.container_name="etl"

Etiquetas ETL:

  • correlation_id

Por exemplo, para fornecer o fluxo de carregamento de um alerta, filtre por correlation_id:

Filtro de registos de carregamento de ETL.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.