Coletar registros do Google SecOps SOAR

Compatível com:

É possível gerenciar e monitorar os registros do SOAR do Google Security Operations no Google Cloud Explorador de registros. Você também pode usar ferramentas do Google Cloud para configurar métricas e alertas especiais que são acionados por eventos específicos nos registros de operações do SOAR.

Os registros capturam dados essenciais das funções ETL, playbook e Python do SOAR. Os tipos de dados capturados incluem a execução de scripts Python, a ingestão de alertas e o desempenho do playbook.

Acessar os registros do SOAR do Google SecOps

Os registros do SOAR das SecOps do Google são gravados em um namespace separado chamado chronicle-soar e são categorizados pelo serviço que gerou o registro.

Para acessar os registros do Google SecOps SOAR, faça o seguinte:

  1. No console Google Cloud , acesse Logging > Explorador de registros.
  2. Selecione o projeto do Google SecOps Google Cloud .
  3. Insira o filtro a seguir no campo e clique em Executar consulta:

    resource.labels.namespace_name="chronicle-soar"
    

    Forneça um texto relevante sobre a imagem aqui.

  4. Para filtrar registros de um serviço específico, insira os seguintes filtros na caixa e clique em Executar consulta:

        resource.labels.namespace_name="chronicle-soar" 
        resource.labels.container_name="<container_name>" 
    

    em que os valores incluem playbook, python ou etl.

Marcadores de playbook

Os rótulos de registros do playbook oferecem uma maneira mais eficiente e conveniente de refinar o escopo de uma consulta. Todos os rótulos estão localizados na seção de rótulos de cada mensagem de registro:

Registrar marcadores em mensagens.

Para restringir o escopo do registro, expanda a mensagem, clique com o botão direito do mouse em cada rótulo e oculte ou mostre registros específicos:

Forneça um texto relevante sobre a imagem aqui.

Os seguintes rótulos estão disponíveis:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registros do Python

Os seguintes registros estão disponíveis para o serviço Python:

resource.labels.container_name="python"

Rótulos de integração e conector:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Rótulos do job:

  • integration_name
  • integration_version
  • job_name

Rótulos da ação:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registros de ETL

Os seguintes registros estão disponíveis para o serviço de ETL:

resource.labels.container_name="etl"

Rótulos de ETL:

  • correlation_id

Por exemplo, para fornecer o fluxo de ingestão de um alerta, filtre por correlation_id:

Filtro de registros de ingestão de ETL.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.