收集 Google SecOps SOAR 日志

支持的语言:

您可以在 Google Cloud Logs Explorer 中管理和监控 Google Security Operations SOAR 日志。您还可以使用 Google Cloud 工具来设置特殊指标和提醒,这些指标和提醒会在 SOAR 操作日志中的特定事件触发时触发。

日志会捕获 SOAR 的 ETLplaybookPython 函数中的基本数据。捕获的数据类型包括 Python 脚本的运行、提醒注入和 playbook 性能。

访问 Google SecOps SOAR 日志

Google SecOps SOAR 日志写入名为 chronicle-soar 的单独命名空间中,并按生成日志的服务进行分类。

如需访问 Google SecOps SOAR 日志,请执行以下操作:

  1. 在 Google Cloud 控制台中,依次前往 Logging > 日志浏览器
  2. 选择 Google SecOps Google Cloud 项目。

  3. 在相应字段中输入以下过滤条件,然后点击运行查询

    resource.labels.namespace_name="chronicle-soar"

    在此处提供与图片相关的文字。

  4. 如需过滤特定服务的日志,请在框中输入以下过滤条件,然后点击运行查询

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    其中,值包括 playbookpythonetl

Playbook 标签

剧本日志标签提供了一种更高效便捷的方式来优化查询范围。所有标签都位于每个日志消息的标签部分:

在消息中记录标签。

如需缩小日志范围,请展开日志消息,右键点击每个标签,然后隐藏或显示特定日志:

在此处提供与图片相关的文字。

您可以使用以下标签:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python 日志

以下日志适用于 Python 服务:

resource.labels.container_name="python"

集成和连接器标签:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

作业标签:

  • integration_name
  • integration_version
  • job_name

操作标签:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL 日志

ETL 服务提供以下日志:

resource.labels.container_name="etl"

ETL 标签:

  • correlation_id

例如,如需提供提醒的提取流程,请按 correlation_id 进行过滤:

ETL 提取日志过滤条件。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。