Coletar registros do Google SecOps SOAR
É possível gerenciar e monitorar os registros do SOAR do Google Security Operations no Google Cloud Explorador de registros. Você também pode usar ferramentas do Google Cloud para configurar métricas e alertas especiais que são acionados por eventos específicos nos registros de operações do SOAR.
Os registros capturam dados essenciais das funções ETL, playbook e Python do SOAR. Os tipos de dados capturados incluem a execução de scripts Python, a ingestão de alertas e o desempenho do playbook.
Acessar os registros do SOAR do Google SecOps
Os registros do SOAR das SecOps do Google são gravados em um namespace separado chamado chronicle-soar e são categorizados pelo serviço que gerou o registro.
Para acessar os registros do Google SecOps SOAR, faça o seguinte:
- No console Google Cloud , acesse Logging > Explorador de registros.
- Selecione o projeto do Google SecOps Google Cloud .
Insira o filtro a seguir no campo e clique em Executar consulta:
resource.labels.namespace_name="chronicle-soar"
Para filtrar registros de um serviço específico, insira os seguintes filtros na caixa e clique em Executar consulta:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"
em que os valores incluem
playbook
,python
ouetl
.
Marcadores de playbook
Os rótulos de registros do playbook oferecem uma maneira mais eficiente e conveniente de refinar o escopo de uma consulta. Todos os rótulos estão localizados na seção de rótulos de cada mensagem de registro:
Para restringir o escopo do registro, expanda a mensagem, clique com o botão direito do mouse em cada rótulo e oculte ou mostre registros específicos:
Os seguintes rótulos estão disponíveis:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Registros do Python
Os seguintes registros estão disponíveis para o serviço Python:
resource.labels.container_name="python"
Rótulos de integração e conector:
integration_name
integration_version
connector_name
connector_instance
Rótulos do job:
integration_name
integration_version
job_name
Rótulos da ação:
integration_name
integration_version
integration_instance
correlation_id
action_name
Registros de ETL
Os seguintes registros estão disponíveis para o serviço de ETL:
resource.labels.container_name="etl"
Rótulos de ETL:
correlation_id
Por exemplo, para fornecer o fluxo de ingestão de um alerta, filtre por
correlation_id
:
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.