收集 Google SecOps SOAR 日志
您可以在 Google Cloud Logs Explorer 中管理和监控 Google 安全运营 SOAR 日志。您还可以使用 Google Cloud 工具设置由 SOAR 操作日志中的特定事件触发的特殊指标和提醒。
日志会捕获 SOAR 的 ETL、Playbook 和 Python 函数中的重要数据。捕获的数据类型包括 Python 脚本的运行、提醒提取和 Playbook 性能。
访问 Google SecOps SOAR 日志
Google SecOps SOAR 日志会写入一个名为 chronicle-soar 的单独命名空间,并按生成日志的服务进行分类。
如需访问 Google SecOps SOAR 日志,请执行以下操作:
- 在 Google Cloud 控制台中,依次选择 Logging > Logs Explorer。
- 选择 Google SecOps Google Cloud 项目。
在该字段中输入以下过滤条件,然后点击运行查询:
none resource.labels.namespace_name="chronicle-soar"
如需过滤特定服务的日志,请在该框中输入以下过滤条件,然后点击运行查询:
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<container_name>"
其中值包括 playbook
、python
或 etl
。
Playbook 标签
Playbook 日志标签提供了一种更高效、更便捷的方式来优化查询范围。所有标签都位于每个日志消息的“标签”部分:
如需缩小日志范围,请展开日志消息,右键点击每个标签,然后隐藏或显示特定日志:
可用的标签如下:
playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Python 日志
Python 服务提供以下日志:
resource.labels.container_name="python"
集成和连接器标签:
integration_name
integration_version
connector_name
connector_instance
作业标签:
integration_name
integration_version
job_name
操作标签:
integration_name
integration_version
integration_instance
correlation_id
action_name
ETL 日志
ETL 服务提供以下日志:
resource.labels.container_name="etl"
ETL 标签:
correlation_id
例如,如需为提醒提供提取流程,请按 correlation_id
过滤: