收集 Google SecOps SOAR 日志

支持的平台:

您可以在 Google Cloud Logs Explorer 中管理和监控 Google 安全运营 SOAR 日志。您还可以使用 Google Cloud 工具设置由 SOAR 操作日志中的特定事件触发的特殊指标和提醒。

日志会捕获 SOAR 的 ETLPlaybookPython 函数中的重要数据。捕获的数据类型包括 Python 脚本的运行、提醒提取和 Playbook 性能。

访问 Google SecOps SOAR 日志

Google SecOps SOAR 日志会写入一个名为 chronicle-soar 的单独命名空间,并按生成日志的服务进行分类。

如需访问 Google SecOps SOAR 日志,请执行以下操作:

  1. 在 Google Cloud 控制台中,依次选择 Logging > Logs Explorer
  2. 选择 Google SecOps Google Cloud 项目。

  3. 在该字段中输入以下过滤条件,然后点击运行查询none resource.labels.namespace_name="chronicle-soar" 在此处提供与图片相关的文本。

  4. 如需过滤特定服务的日志,请在该框中输入以下过滤条件,然后点击运行查询

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

其中值包括 playbookpythonetl

Playbook 标签

Playbook 日志标签提供了一种更高效、更便捷的方式来优化查询范围。所有标签都位于每个日志消息的“标签”部分:

在消息中记录标签。

如需缩小日志范围,请展开日志消息,右键点击每个标签,然后隐藏或显示特定日志:

在此处提供与图片相关的文本。

可用的标签如下:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python 日志

Python 服务提供以下日志:

resource.labels.container_name="python"

集成和连接器标签:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

作业标签:

  • integration_name
  • integration_version
  • job_name

操作标签:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL 日志

ETL 服务提供以下日志:

resource.labels.container_name="etl"

ETL 标签:

  • correlation_id

例如,如需为提醒提供提取流程,请按 correlation_id 过滤:

ETL 提取日志过滤条件。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。