Coletar registros do SOAR do Google SecOps
É possível gerenciar e monitorar os registros do SOAR da Google Security Operations no Google Cloud Explorador de registros. Também é possível usar Google Cloud ferramentas para configurar métricas e alertas especiais acionados por eventos específicos nos registros de operação do SOAR.
Os registros capturam dados essenciais das funções ETL, playbook e Python do SOAR. Os tipos de dados capturados incluem a execução de scripts Python, a ingestão de alertas e a performance do playbook.
Acessar os registros do SOAR do Google SecOps
Os registros do SOAR do Google SecOps são gravados em um namespace separado chamado chronicle-soar e são categorizados pelo serviço que gerou o registro.
Para acessar os registros do Google SecOps SOAR, faça o seguinte:
- No console do Google Cloud, acesse Logging > Análise de registros.
- Selecione o projeto Google Cloud do Google SecOps.
Insira o seguinte filtro no campo e clique em Executar consulta:
none resource.labels.namespace_name="chronicle-soar"
Para filtrar registros de um serviço específico, insira os seguintes filtros na caixa e clique em Executar consulta:
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<container_name>"
em que os valores incluem playbook
, python
ou etl
.
Rótulos de playbook
Os rótulos de registro do Playbook oferecem uma maneira mais eficiente e conveniente de refinar o escopo de uma consulta. Todos os rótulos estão localizados na seção "Labels" de cada mensagem de registro:
Para restringir o escopo do registro, abra a mensagem de registro, clique com o botão direito do mouse em cada rótulo e oculte ou mostre registros específicos:
Os seguintes rótulos estão disponíveis:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Registros do Python
Os seguintes registros estão disponíveis para o serviço Python:
resource.labels.container_name="python"
Rótulos de integração e conector:
integration_name
integration_version
connector_name
connector_instance
Rótulos de jobs:
integration_name
integration_version
job_name
Rótulos de ação:
integration_name
integration_version
integration_instance
correlation_id
action_name
Registros de ETL
Os seguintes registros estão disponíveis para o serviço de ETL:
resource.labels.container_name="etl"
Rótulos de ETL:
correlation_id
Por exemplo, para fornecer o fluxo de transferência de um alerta, filtre por
correlation_id
: