Recopila registros de Google SecOps SOAR

Se admite en los siguientes sistemas operativos:

Puedes administrar y supervisar los registros de SOAR de Google Security Operations en el Google Cloud Explorador de registros. También puedes usar Google Cloud herramientas para configurar métricas y alertas especiales que se activen con eventos específicos en los registros de operaciones de SOAR.

Los registros capturan datos esenciales de las funciones de ETL, playbook y Python de SOAR. Los tipos de datos capturados incluyen la ejecución de secuencias de comandos de Python, la incorporación de alertas y el rendimiento de los manuales.

Habilita la recopilación de registros de SOAR

Las Operaciones de seguridad de Google proporcionan registros operativos para las actividades de SOAR, incluidas las ejecuciones de guías, las ejecuciones de conectores y los resultados de secuencias de comandos de Python.

  • Google SecOps (SIEM + SOAR unificados): La recopilación de registros de SOAR está habilitada de forma predeterminada. La plataforma configura automáticamente los receptores de registros para enrutar estos registros a Cloud Logging en tu proyecto de Google Cloud . No se requiere configuración manual.
  • SOAR independiente: Debes configurar manualmente una cuenta de servicio y proporcionar las credenciales al equipo de asistencia de Google SecOps para habilitar la exportación de registros. Para obtener más información, consulta Cómo configurar los registros de SOAR.

Accede a los registros de Google SecOps SOAR

Los registros de SOAR de SecOps de Google se escriben en un espacio de nombres independiente llamado chronicle-soar y se categorizan según el servicio que generó el registro.

Para acceder a los registros de SOAR de Google SecOps, haz lo siguiente:

  1. En la consola de Google Cloud , ve a Logging > Explorador de registros.
  2. Selecciona el proyecto de Google SecOps Google Cloud .

  3. Ingresa el siguiente filtro en el campo y haz clic en Ejecutar consulta:

    resource.labels.namespace_name="chronicle-soar"

    Proporciona texto relevante sobre la imagen aquí.

  4. Para filtrar los registros de un servicio específico, ingresa los siguientes filtros en el cuadro y haz clic en Ejecutar consulta:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    donde los valores incluyen playbook, python o etl.

Etiquetas de la guía

Las etiquetas de registro del cuaderno de estrategias proporcionan una forma más eficiente y conveniente de definir mejor el alcance de una consulta. Todas las etiquetas se encuentran en la sección de etiquetas de cada mensaje de registro:

Registra etiquetas en los mensajes.

Para reducir el alcance del registro, expande el mensaje de registro, haz clic con el botón derecho en cada etiqueta y oculta o muestra registros específicos:

Proporciona texto relevante sobre la imagen aquí.

Las siguientes etiquetas están disponibles:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registros de Python

Los siguientes registros están disponibles para el servicio de Python:

resource.labels.container_name="python"

Etiquetas de integración y conector:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Etiquetas de trabajo:

  • integration_name
  • integration_version
  • job_name

Etiquetas de acción:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registros de ETL

Los siguientes registros están disponibles para el servicio de ETL:

resource.labels.container_name="etl"

Etiquetas de ETL:

  • correlation_id

Por ejemplo, para proporcionar el flujo de transferencia de una alerta, filtra por correlation_id:

Es el filtro de registros de transferencia de ETL.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.