Mengumpulkan log SOAR Google SecOps

Didukung di:

Anda dapat mengelola dan memantau log SOAR Google Security Operations di Google Cloud Logs Explorer. Anda juga dapat menggunakan alat untuk menyiapkan metrik dan pemberitahuan khusus yang dipicu oleh peristiwa tertentu dalam log operasi SOAR Anda. Google Cloud

Log ini mencatat data penting dari fungsi ETL, playbook, dan Python SOAR. Jenis data yang diambil mencakup menjalankan skrip Python, penyerapan pemberitahuan, dan performa playbook.

Mengaktifkan pengumpulan log SOAR

Google SecOps menyediakan log operasional untuk aktivitas SOAR, termasuk eksekusi playbook, eksekusi konektor, dan output skrip Python.

  • Google SecOps (SIEM + SOAR Terpadu): Pengumpulan log SOAR diaktifkan secara default. Platform ini otomatis mengonfigurasi sink log untuk merutekan log ini ke Cloud Logging di project Anda. Google Cloud Tidak diperlukan konfigurasi manual.
  • SOAR Mandiri: Anda harus mengonfigurasi akun layanan secara manual dan memberikan kredensial ke Dukungan Google SecOps untuk mengaktifkan ekspor log. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan log SOAR.

Mengakses log Google SecOps SOAR

Log Google SecOps SOAR ditulis dalam namespace terpisah yang disebut chronicle-soar dan dikategorikan berdasarkan layanan yang menghasilkan log.

Untuk mengakses log SOAR Google SecOps, lakukan hal berikut:

  1. Di konsol Google Cloud , buka Logging > Logs Explorer.
  2. Pilih project Google SecOps Google Cloud .

  3. Masukkan filter berikut di kolom, lalu klik Run Query:

    resource.labels.namespace_name="chronicle-soar"

    Contoh tombol log langkah playbook.

  4. Untuk memfilter log dari layanan tertentu, masukkan filter berikut di kotak lalu klik Run Query:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    dengan nilai yang mencakup playbook, python, atau etl.

Proses debug langkah playbook

Anda dapat melihat log eksekusi untuk setiap langkah playbook langsung dari tab Playbook di halaman Kasus. Hal ini memungkinkan Anda memeriksa logika dan hasil setiap langkah, terlepas dari status eksekusinya.

Untuk melihat log langkah tertentu:

  1. Di Tampilan Kasus, buka tab Playbook.
  2. Pilih langkah untuk melihat hasilnya.
  3. Klik View Logs Explorer.

Link tersebut akan membuka Logs Explorer di konsol Google Cloud dengan filter yang telah dikonfigurasi sebelumnya untuk ID eksekusi spesifik dari langkah tersebut.

Label playbook

Label log playbook memberikan cara yang lebih efisien dan mudah untuk mempersempit cakupan kueri. Semua label berada di bagian label setiap pesan log:

Mencatat label dalam pesan.

Untuk mempersempit cakupan log, luaskan pesan log, klik kanan setiap label, lalu sembunyikan atau tampilkan log tertentu:

Berikan teks yang relevan tentang gambar di sini.

Label berikut tersedia:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Log Python

Log berikut tersedia untuk layanan python:

resource.labels.container_name="python"

Label Integrasi dan Konektor:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Label tugas:

  • integration_name
  • integration_version
  • job_name

Label tindakan:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Log ETL

Log berikut tersedia untuk layanan ETL:

resource.labels.container_name="etl"

Label ETL:

  • correlation_id

Misalnya, untuk menyediakan alur penyerapan pemberitahuan, filter menurut correlation_id:

Filter log penyerapan ETL.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.