Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Google SecOps SOAR

Compatible avec :

Google secops SOAR

Vous pouvez gérer et surveiller les journaux Google Security Operations SOAR dans l' Google Cloud explorateur de journaux. Vous pouvez également utiliser Google Cloud des outils pour configurer des métriques et des alertes spéciales qui sont déclenchées par des événements spécifiques dans vos journaux d'opérations SOAR.

Les journaux capturent des données essentielles à partir des fonctions d'extraction, de transformation et de chargement (ETL), playbook et Python de SOAR. Les journaux capturent des types de données, y compris l'exécution de scripts Python, l'ingestion d'alertes et les performances du playbook.

Activer la collecte des journaux SOAR

Google SecOps fournit des journaux opérationnels pour les activités SOAR, y compris les exécutions de playbooks, les exécutions de connecteurs et les sorties de scripts Python.

Google SecOps (SIEM + SOAR unifiés) : par défaut, le système active la collecte des journaux SOAR. La plate-forme configure automatiquement les récepteurs de journaux pour acheminer ces journaux vers Cloud Logging dans votre Google Cloud projet. Vous n'avez pas besoin d'effectuer de configuration manuelle.
SOAR autonome : vous devez configurer manuellement un compte de service et fournir les identifiants à l'assistance Google SecOps pour activer l'exportation des journaux. Pour obtenir des instructions, consultez la section suivante.

Le système achemine automatiquement les journaux SOAR vers le bucket Cloud Logging _Default. Comme cela entraîne des coûts, Google vous recommande de configurer des filtres d'exclusion pour supprimer les journaux de faible valeur ou ajuster les périodes de conservation. Pour en savoir plus sur la collecte de journaux et la configuration de filtres, consultez la présentation de la journalisation.

Configurer les journaux SOAR pour SOAR autonome

Pour configurer la collecte des journaux SOAR pour SOAR autonome, procédez comme suit :

Créez un compte de service dans le Google Cloud projet où vous prévoyez d'afficher les journaux. Pour en savoir plus, consultez Créer des comptes de service.
Dans la Google Cloud console, accédez à IAM et administration > IAM.
Accéder à IAM
Recherchez le compte de service que vous avez créé, puis cliquez sur Modifier Modifier le compte principal.
Dans la section Attribuer des rôles, ajoutez le rôle Rédacteur de journaux. Pour en savoir plus, consultez le rôle prédéfini Rédacteur de journaux.
Cliquez sur Enregistrer.
Accédez à IAM et administration > Comptes de service.
Sélectionnez le compte de service que vous avez créé.
Cliquez sur Plus , puis sélectionnez Gérer les autorisations.
Dans la section Autorisations, cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, ajoutez le compte principal suivant : gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

Remplacez {SOAR-GCP-Project-Id} par l'ID de votre projet SOAR Google Cloud . Si vous ne connaissez pas le SOAR-GCP-Project-Id, envoyez un ticket via l'assistance Google.

Remarque : Les règles d'administration peuvent restreindre l'accès aux comptes de service externes en raison du partage restreint de domaine. Si cela se produit, vous devez ajouter une exception à la liste d'autorisation pour le compte principal mentionné. Pour en savoir plus, consultez Restreindre les domaines : configurer des exceptions.
Dans Attribuer des rôles, sélectionnez Créateur de jetons de compte de service. Pour en savoir plus, consultez Créateur de jetons de compte de service.
Cliquez sur Enregistrer.
Fournissez le nom du compte de service configuré à l'équipe d'assistance Google SecOps.

Accéder aux journaux Google SecOps SOAR

Google SecOps écrit les journaux SOAR dans un espace de noms distinct appelé chronicle-soar et les classe par service qui a généré le journal.

Pour accéder aux journaux Google SecOps SOAR, procédez comme suit :

Dans la Google Cloud console, accédez à Logging > Explorateur de journaux.
Accéder à l'explorateur de journaux
Sélectionnez le projet Google SecOps Google Cloud .
Saisissez le filtre suivant dans le champ de requête, puis cliquez sur Exécuter la requête :
```
resource.labels.namespace_name="chronicle-soar"
```
Pour filtrer les journaux d'un service spécifique, saisissez les filtres suivants dans le champ de requête, puis cliquez sur Exécuter la requête :
```
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<CONTAINER_NAME>"
```
Remplacez <CONTAINER_NAME> par le conteneur de service approprié : playbook, python ou etl.

Débogage des étapes du playbook

Vous pouvez afficher les journaux d'exécution d'une étape de playbook individuelle directement depuis l'onglet Playbook de la page Demandes. Vous pouvez ainsi inspecter la logique et le résultat de chaque étape, quel que soit son état d'exécution.

Pour afficher les journaux d'une étape spécifique :

Dans la vue de la demande, ouvrez l'onglet Playbook.
Sélectionnez une étape pour afficher ses résultats.
Cliquez sur Afficher l'explorateur de journaux.

Remarque : Vous devez disposer du rôle IAM Lecteur de journaux (roles/logging.viewer) sur votre Google Cloud projet pour afficher les journaux.

Le lien ouvre l'explorateur de journaux dans la Google Cloud console avec un filtre préconfiguré pour l'ID d'exécution spécifique de cette étape.

Remarque : La synchronisation et l'affichage des journaux dans l' explorateur de journaux peuvent prendre jusqu'à cinq minutes.

Filtrer les journaux à l'aide de libellés

Les libellés de journaux offrent un moyen efficace et pratique d'affiner la portée d'une requête. Vous pouvez trouver tous les libellés dans la section labels de chaque message de journal.

Libellés de journaux affichés dans un message de journal dans l'explorateur de journaux.

Pour limiter le champ d'action des journaux, développez le message de journal, cliquez avec le bouton droit sur chaque libellé, puis masquez ou affichez des journaux spécifiques :

Options de filtrage disponibles lorsque vous effectuez un clic droit sur un libellé dans l'explorateur de journaux.

Libellés de journaux de playbooks

Les libellés suivants sont disponibles pour les playbooks :

playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name

Libellés de journaux Python

Les libellés suivants sont disponibles pour le service Python, filtrés par resource.labels.container_name="python" :

Libellés d'intégration et de connecteur

integration_name
integration_version
connector_name
connector_instance

Libellés de tâches

integration_name
integration_version
job_name

Libellés d'actions

integration_name
integration_version
integration_instance
correlation_id
action_name

Libellés de journaux ETL

Les libellés suivants sont disponibles pour le service ETL, filtrés par resource.labels.container_name="etl" :

correlation_id

Par exemple, pour suivre le flux d'ingestion d'une alerte, filtrez par correlation_id :

Exemple de filtre dans l'explorateur de journaux utilisant correlation_id pour les journaux ETL.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.