Google SecOps SOAR-Protokolle erfassen
Sie können Google Security Operations SOAR-Logs im Google Cloud Log-Explorer verwalten und überwachen. Sie können auch Google Cloud Tools verwenden, um spezielle Messwerte und Benachrichtigungen einzurichten, die durch bestimmte Ereignisse in Ihren SOAR-Vorgangsprotokollen ausgelöst werden.
In den Logs werden wichtige Daten aus den SOAR-Funktionen „Extrahieren, Transformieren, Laden“ (ETL), Playbook und Python erfasst. Die Logs erfassen Datentypen wie die Ausführung von Python-Skripts, die Aufnahme von Benachrichtigungen und die Playbook-Leistung.
SOAR-Logerfassung aktivieren
Google SecOps stellt Betriebslogs für SOAR-Aktivitäten bereit, einschließlich Playbook-Ausführungen, Connector-Ausführungen und Python-Skriptausgaben.
Google SecOps (SIEM + SOAR Unified): Standardmäßig aktiviert das System die Erfassung von SOAR-Logs. Die Plattform konfiguriert automatisch Logsenken, um diese Logs an Cloud Logging in Ihrem Google Cloud -Projekt weiterzuleiten. Sie müssen keine manuelle Konfiguration vornehmen.
Eigenständiges SOAR:Sie müssen ein Dienstkonto manuell konfigurieren und die Anmeldedaten dem Google SecOps-Support zur Verfügung stellen, um den Logexport zu aktivieren. Eine Anleitung dazu finden Sie im folgenden Abschnitt.
Das System leitet SOAR-Logs automatisch an den Cloud Logging-Bucket _Default weiter. Da dies Kosten verursacht, empfiehlt Google, Ausschlussfilter einzurichten, um Logs mit geringem Wert zu verwerfen oder Aufbewahrungszeiträume anzupassen. Weitere Informationen zum Erfassen von Logs und Einrichten von Filtern finden Sie unter Logging-Übersicht.
SOAR-Logs für SOAR Standalone einrichten
So richten Sie die SOAR-Protokollerfassung für SOAR Standalone ein:
Erstellen Sie ein Dienstkonto im Projekt Google Cloud , in dem Sie die Logs ansehen möchten. Weitere Informationen finden Sie unter Dienstkonten erstellen.
Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > IAM.
Suchen Sie das von Ihnen erstellte Dienstkonto und klicken Sie auf Bearbeiten Hauptkonto bearbeiten.
Fügen Sie im Abschnitt Rollen zuweisen die Rolle Logs Writer (Protokolle schreiben) hinzu. Weitere Informationen finden Sie unter Vordefinierte Rolle „Logs Writer“.
Klicken Sie auf Speichern.
Rufen Sie IAM & Verwaltung > Dienstkonten auf.
Wählen Sie das Dienstkonto aus, das Sie erstellt haben.
Klicken Sie auf Mehr und wählen Sie Berechtigungen verwalten aus.
Klicken Sie im Bereich Berechtigungen auf Zugriff gewähren.
Fügen Sie im Feld Neue Hauptkonten das folgende Hauptkonto hinzu:
gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.comErsetzen Sie
{SOAR-GCP-Project-Id}durch Ihre SOAR Google Cloud Projekt-ID. Wenn Sie dieSOAR-GCP-Project-Idnicht kennen, senden Sie ein Ticket über den Google-Support.Wählen Sie unter Rollen zuweisen die Option Ersteller von Dienstkonto-Tokens aus. Weitere Informationen finden Sie unter Ersteller von Dienstkonto-Tokens.
Klicken Sie auf Speichern.
Geben Sie dem Google SecOps-Supportteam den Namen des konfigurierten Dienstkontos an.
Auf Google SecOps SOAR-Logs zugreifen
Google SecOps schreibt SOAR-Logs in einen separaten Namespace namens chronicle-soar und kategorisiert sie nach dem Dienst, der das Log generiert hat.
So greifen Sie auf Google SecOps SOAR-Logs zu:
Rufen Sie in der Google Cloud Console Logging > Log-Explorer auf.
Wählen Sie das Google SecOps-Projekt Google Cloud aus.
Geben Sie den folgenden Filter in das Abfragefeld ein und klicken Sie auf Abfrage ausführen:
resource.labels.namespace_name="chronicle-soar"
Wenn Sie Logs eines bestimmten Dienstes filtern möchten, geben Sie die folgenden Filter in das Abfragefeld ein und klicken Sie auf Abfrage ausführen:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<CONTAINER_NAME>"Ersetzen Sie
<CONTAINER_NAME>durch den entsprechenden Servicecontainer:playbook,pythonoderetl.
Fehlerbehebung bei Playbook-Schritten
Ausführungslogs für einen einzelnen Playbook-Schritt können Sie direkt auf der Seite Fälle auf dem Tab Playbook aufrufen. So können Sie die Logik und das Ergebnis jedes Schritts unabhängig vom Ausführungsstatus prüfen.
So rufen Sie Logs für einen bestimmten Schritt auf:
- Öffnen Sie in der Fallansicht den Tab Playbook.
- Wählen Sie einen Schritt aus, um die Ergebnisse anzusehen.
Klicken Sie auf Log-Explorer aufrufen.
Über den Link wird der Log-Explorer in der Google Cloud Console mit einem vorkonfigurierten Filter für die spezifische Ausführungs-ID dieses Schritts geöffnet.
Logs mit Labels filtern
Mit Loglabels lässt sich der Umfang einer Abfrage effizient und bequem eingrenzen. Alle Labels finden Sie im Bereich labels jedes Logeintrags.
Wenn Sie den Logbereich eingrenzen möchten, maximieren Sie den Logeintrag, klicken Sie mit der rechten Maustaste auf die einzelnen Labels und blenden Sie bestimmte Logs ein oder aus:
Playbook-Loglabels
Die folgenden Labels sind für die Playbooks verfügbar:
playbook_definitionplaybook_nameblock_nameblock_definitioncase_idcorrelation_idintegration_nameaction_name
Python-Loglabels
Die folgenden Labels sind für den Python-Dienst verfügbar, gefiltert nach resource.labels.container_name="python":
Labels für Integrationen und Connectors
integration_nameintegration_versionconnector_nameconnector_instance
Job-Labels
integration_nameintegration_versionjob_name
Aktionslabels
integration_nameintegration_versionintegration_instancecorrelation_idaction_name
ETL-Loglabels
Die folgenden Labels sind für den ETL-Dienst verfügbar, gefiltert nach resource.labels.container_name="etl":
correlation_id
Wenn Sie beispielsweise den Erfassungsprozess für eine Benachrichtigung nachvollziehen möchten, filtern Sie nach correlation_id:
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten