Coletar registros do SOAR do Google SecOps

Compatível com:

É possível gerenciar e monitorar os registros do SOAR da Google Security Operations no Google Cloud Explorador de registros. Também é possível usar Google Cloud ferramentas para configurar métricas e alertas especiais acionados por eventos específicos nos registros de operação do SOAR.

Os registros capturam dados essenciais das funções ETL, playbook e Python do SOAR. Os tipos de dados capturados incluem a execução de scripts Python, a ingestão de alertas e a performance do playbook.

Acessar os registros do SOAR do Google SecOps

Os registros do SOAR do Google SecOps são gravados em um namespace separado chamado chronicle-soar e são categorizados pelo serviço que gerou o registro.

Para acessar os registros do Google SecOps SOAR, faça o seguinte:

  1. No console do Google Cloud, acesse Logging > Análise de registros.
  2. Selecione o projeto Google Cloud do Google SecOps.
  3. Insira o seguinte filtro no campo e clique em Executar consulta: none resource.labels.namespace_name="chronicle-soar" Insira um texto relevante sobre a imagem aqui.

  4. Para filtrar registros de um serviço específico, insira os seguintes filtros na caixa e clique em Executar consulta:

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>" 

em que os valores incluem playbook, python ou etl.

Rótulos de playbook

Os rótulos de registro do Playbook oferecem uma maneira mais eficiente e conveniente de refinar o escopo de uma consulta. Todos os rótulos estão localizados na seção "Labels" de cada mensagem de registro:

Registrar rótulos em mensagens.

Para restringir o escopo do registro, abra a mensagem de registro, clique com o botão direito do mouse em cada rótulo e oculte ou mostre registros específicos:

Insira um texto relevante sobre a imagem aqui.

Os seguintes rótulos estão disponíveis:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registros do Python

Os seguintes registros estão disponíveis para o serviço Python:

resource.labels.container_name="python"

Rótulos de integração e conector:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Rótulos de jobs:

  • integration_name
  • integration_version
  • job_name

Rótulos de ação:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registros de ETL

Os seguintes registros estão disponíveis para o serviço de ETL:

resource.labels.container_name="etl"

Rótulos de ETL:

  • correlation_id

Por exemplo, para fornecer o fluxo de transferência de um alerta, filtre por correlation_id:

Filtro de registros de transferência ETL.