Recopila registros de Google SecOps SOAR
Puedes administrar y supervisar los registros de Google Security Operations SOAR en el Google Cloud Explorador de registros. También puedes usar herramientas para configurar métricas y alertas especiales Google Cloud que se activan con eventos específicos en los registros de operaciones de SOAR.
Los registros capturan datos esenciales de las funciones de extracción, transformación y carga (ETL), guía y Python de SOAR. Los registros capturan tipos de datos, como la ejecución de secuencias de comandos de Python, la ingesta de alertas y el rendimiento de la guía.
Habilita la recopilación de registros de SOAR
Google SecOps proporciona registros operativos para las actividades de SOAR, incluidas las ejecuciones de guías, las ejecuciones de conectores y los resultados de secuencias de comandos de Python.
Google SecOps (SIEM + SOAR unificados): De forma predeterminada, el sistema habilita la recopilación de registros de SOAR. La plataforma configura automáticamente los receptores de registros para enrutar estos registros a Cloud Logging en tu Google Cloud proyecto. No es necesario realizar ninguna configuración manual.
SOAR independiente: Debes configurar manualmente una cuenta de servicio y proporcionar las credenciales al equipo de asistencia de Google SecOps para habilitar la exportación de registros. Consulta la siguiente sección para obtener instrucciones.
El sistema enruta automáticamente los registros de SOAR al bucket de Cloud Logging _Default. Debido a que esto genera costos, Google recomienda configurar filtros de exclusión para descartar registros de bajo valor o ajustar los períodos de retención. Para obtener más información sobre la recopilación de
registros y la configuración de filtros, consulta Descripción general de Logging.
Configura los registros de SOAR para SOAR independiente
Para configurar la recopilación de registros de SOAR para SOAR independiente, sigue estos pasos:
Crea una cuenta de servicio en el Google Cloud proyecto en el que planeas ver los registros. Para obtener más información, consulta Crea cuentas de servicio.
En la Google Cloud consola, ve a IAM y administración > IAM.
Busca la cuenta de servicio que creaste y haz clic en editar Editar principal.
En la sección Asignar roles, agrega el rol Escritor de registros. Para obtener más información, consulta el rol Escritor de registros predefinido.
Haz clic en Guardar.
Ve a IAM y administración > Cuentas de servicio.
Selecciona la cuenta de servicio que creaste.
Haz clic en Más y selecciona Administrar permisos.
En la sección Permisos, haz clic en Otorgar acceso.
En el campo Principales nuevas, agrega la siguiente entidad principal:
gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.comReemplaza
{SOAR-GCP-Project-Id}por tu SOAR Google Cloud ID del proyecto. Si no conoces elSOAR-GCP-Project-Id, envía un ticket a través de la Atención al Cliente de Google.En Asignar roles, selecciona Creador de tokens de cuenta de servicio. Para obtener más información, consulta Creador de tokens de cuenta de servicio.
Haz clic en Guardar.
Proporciona el nombre de la cuenta de servicio configurada al equipo de asistencia de Google SecOps.
Accede a los registros de Google SecOps SOAR
Google SecOps escribe registros de SOAR en un espacio de nombres independiente llamado chronicle-soar y los categoriza según el servicio que generó el registro.
Para acceder a los registros de Google SecOps SOAR, haz lo siguiente:
En la Google Cloud consola, ve a Logging > Explorador de registros.
Selecciona el proyecto de Google SecOps Google Cloud .
Ingresa el siguiente filtro en el campo de consulta y haz clic en Ejecutar consulta:
resource.labels.namespace_name="chronicle-soar"
Para filtrar registros de un servicio específico, ingresa los siguientes filtros en el campo de consulta y haz clic en Ejecutar consulta:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<CONTAINER_NAME>"Reemplaza
<CONTAINER_NAME>por el contenedor de servicio pertinente:playbook,pythonoetl.
Depuración de pasos de la guía
Puedes ver los registros de ejecución de un paso de guía individual directamente desde la pestaña Guía en la página Casos. Esto te permite inspeccionar la lógica y el resultado de cada paso, independientemente de su estado de ejecución.
Para ver los registros de un paso específico, haz lo siguiente:
- En la vista de caso, abre la pestaña Guía.
- Selecciona un paso para ver sus resultados.
Haz clic en Ver Explorador de registros.
El vínculo abre el Explorador de registros en la Google Cloud consola con un filtro preconfigurado para el ID de ejecución específico de ese paso.
Filtra registros con etiquetas
Las etiquetas de registro proporcionan una forma eficiente y conveniente de definir mejor un alcance de consulta. Puedes encontrar todas las etiquetas en la sección labels de cada mensaje de registro.
Para reducir el ámbito de registros, expande el mensaje de registro, haz clic con el botón derecho en cada etiqueta y oculta o muestra registros específicos:
Etiquetas de registro de la guía
Las siguientes etiquetas están disponibles para las guías:
playbook_definitionplaybook_nameblock_nameblock_definitioncase_idcorrelation_idintegration_nameaction_name
Etiquetas de registro de Python
Las siguientes etiquetas están disponibles para el servicio de Python, filtradas por resource.labels.container_name="python":
Etiquetas de integración y conector
integration_nameintegration_versionconnector_nameconnector_instance
Etiquetas de trabajo
integration_nameintegration_versionjob_name
Etiquetas de acción
integration_nameintegration_versionintegration_instancecorrelation_idaction_name
Etiquetas de registro de ETL
Las siguientes etiquetas están disponibles para el servicio de ETL, filtradas por resource.labels.container_name="etl":
correlation_id
Por ejemplo, para hacer un seguimiento del flujo de ingesta de una alerta, filtra por correlation_id:
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.