Google SecOps SOAR-Protokolle erfassen

Unterstützt in:

Sie können Google Security Operations SOAR-Logs im Google Cloud Log-Explorer verwalten und überwachen. Sie können auch Google Cloud Tools verwenden, um spezielle Messwerte und Benachrichtigungen einzurichten, die durch bestimmte Ereignisse in Ihren SOAR-Vorgangsprotokollen ausgelöst werden.

Die Logs enthalten wichtige Daten aus den ETL-, Playbook- und Python-Funktionen von SOAR. Zu den erfassten Daten gehören die Ausführung von Python-Skripts, die Aufnahme von Benachrichtigungen und die Playbook-Leistung.

SOAR-Logerfassung aktivieren

Google SecOps stellt Betriebslogs für SOAR-Aktivitäten bereit, einschließlich Playbook-Ausführungen, Connector-Ausführungen und Python-Skriptausgaben.

  • Google SecOps (SIEM + SOAR Unified): Die Erfassung von SOAR-Logs ist standardmäßig aktiviert. Die Plattform konfiguriert automatisch Logsenken, um diese Logs an Cloud Logging in Ihrem Google Cloud -Projekt weiterzuleiten. Es ist keine manuelle Konfiguration erforderlich.
  • Eigenständiges SOAR:Sie müssen ein Dienstkonto manuell konfigurieren und die Anmeldedaten dem Google SecOps-Support zur Verfügung stellen, um den Logexport zu aktivieren. Weitere Informationen finden Sie unter SOAR-Logs einrichten.

SOAR-Logs für beide Kundengruppen werden automatisch an den Cloud Logging-Bucket _Default weitergeleitet. Da dies Kosten verursacht, empfiehlt Google, Ausschlussfilter einzurichten, um Logs mit geringem Wert zu verwerfen oder Aufbewahrungszeiträume anzupassen. Weitere Informationen zum Erfassen von Logs und Einrichten von Filtern finden Sie unter Logging.

Auf Google SecOps SOAR-Logs zugreifen

Google SecOps SOAR-Logs werden in einen separaten Namespace namens chronicle-soar geschrieben und nach dem Dienst kategorisiert, der das Log generiert hat.

So greifen Sie auf Google SecOps SOAR-Logs zu:

  1. Rufen Sie in der Google Cloud Console Logging > Log-Explorer auf.
  2. Wählen Sie das Google SecOps-Projekt Google Cloud aus.

  3. Geben Sie den folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:

    resource.labels.namespace_name="chronicle-soar"

    Beispiel für eine Schaltfläche für Playbook-Schrittprotokolle.

  4. Wenn Sie Logs eines bestimmten Dienstes filtern möchten, geben Sie die folgenden Filter in das Feld ein und klicken Sie auf Abfrage ausführen:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    Die Werte umfassen playbook, python oder etl.

Fehlerbehebung bei Playbook-Schritten

Sie können Ausführungslogs für einen einzelnen Playbook-Schritt direkt auf dem Tab „Playbook“ auf der Seite „Vorgänge“ aufrufen. So können Sie die Logik und das Ergebnis jedes Schritts unabhängig vom Ausführungsstatus prüfen.

So rufen Sie Logs für einen bestimmten Schritt auf:

  1. Öffnen Sie in der Fallansicht den Tab Playbook.
  2. Wählen Sie einen Schritt aus, um die Ergebnisse anzusehen.
  3. Klicken Sie auf Log-Explorer aufrufen.

Über den Link wird der Log-Explorer in der Google Cloud Console mit einem vorkonfigurierten Filter für die spezifische Ausführungs-ID dieses Schritts geöffnet.

Playbook-Labels

Mit Playbook-Loglabels lässt sich der Umfang einer Abfrage effizienter und bequemer eingrenzen. Alle Labels befinden sich im Label-Abschnitt jedes Logeintrags:

Log-Labels in Nachrichten.

Wenn Sie den Logbereich eingrenzen möchten, maximieren Sie den Logeintrag, klicken Sie mit der rechten Maustaste auf die einzelnen Labels und blenden Sie bestimmte Logs ein oder aus:

Geben Sie hier relevanten Text zum Bild ein.

Die folgenden Labels sind verfügbar:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python-Logs

Die folgenden Logs sind für den Python-Dienst verfügbar:

resource.labels.container_name="python"

Labels für Integrationen und Connectors:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Job-Labels:

  • integration_name
  • integration_version
  • job_name

Aktionslabels:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL-Logs

Für den ETL-Dienst sind die folgenden Logs verfügbar:

resource.labels.container_name="etl"

ETL-Labels:

  • correlation_id

Wenn Sie beispielsweise den Erfassungsablauf für eine Benachrichtigung angeben möchten, filtern Sie nach correlation_id:

Filter für ETL-Aufnahmelogs.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten