收集 Google SecOps SOAR 記錄

支援的國家/地區:

您可以在Google Cloud 記錄檔瀏覽器中管理及監控 Google Security Operations SOAR 記錄。您也可以使用 Google Cloud 工具設定特殊指標和快訊,在 SOAR 作業記錄中發生特定事件時觸發。

記錄檔會擷取 SOAR 的 ETL劇本Python 函式中的重要資料。擷取的資料類型包括 Python 指令碼執行、快訊擷取和劇本成效。

存取 Google SecOps SOAR 記錄

Google SecOps SOAR 記錄會寫入名為 chronicle-soar 的獨立命名空間,並依產生記錄的服務分類。

如要存取 Google SecOps SOAR 記錄,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Logging」 >「Logs Explorer」
  2. 選取 Google SecOps Google Cloud 專案。

  3. 在欄位中輸入下列篩選條件,然後點選「執行查詢」

    resource.labels.namespace_name="chronicle-soar"

    請在這裡提供圖片的相關文字。

  4. 如要篩選特定服務的記錄,請在方塊中輸入下列篩選條件,然後按一下「執行查詢」

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    值包括 playbookpythonetl

應對手冊標籤

劇本記錄標籤提供更有效率且便利的方式,可縮小查詢範圍。所有標籤都位於每個記錄訊息的標籤區段中:

在訊息中記錄標籤。

如要縮小記錄範圍,請展開記錄訊息,在每個標籤上按一下滑鼠右鍵,然後隱藏或顯示特定記錄:

請在這裡提供圖片的相關文字。

可用的標籤如下:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python 記錄

Python 服務可用的記錄如下:

resource.labels.container_name="python"

整合和連接器標籤:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

工作標籤:

  • integration_name
  • integration_version
  • job_name

動作標籤:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL 記錄

ETL 服務提供下列記錄:

resource.labels.container_name="etl"

ETL 標籤:

  • correlation_id

舉例來說,如要提供快訊的擷取流程,請依 correlation_id 篩選:

ETL 擷取記錄篩選器。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。