Mengumpulkan log SOAR Google SecOps

Didukung di:

Anda dapat mengelola dan memantau log SOAR Google Security Operations di Google Cloud Logs Explorer. Anda juga dapat menggunakan alat Google Cloud untuk menyiapkan metrik dan pemberitahuan khusus yang dipicu oleh peristiwa tertentu di log operasi SOAR Anda.

Log ini mencatat data penting dari fungsi ETL, playbook, dan Python SOAR. Jenis data yang diambil mencakup menjalankan skrip Python, penyerapan pemberitahuan, dan performa playbook.

Mengaktifkan pengumpulan log SOAR

Google SecOps menyediakan log operasional untuk aktivitas SOAR, termasuk eksekusi playbook, eksekusi konektor, dan output skrip Python.

  • Google SecOps (SIEM + SOAR Terpadu): Pengumpulan log SOAR diaktifkan secara default. Platform ini otomatis mengonfigurasi sink log untuk merutekan log ini ke Cloud Logging di project Anda. Google Cloud Tidak diperlukan konfigurasi manual.
  • SOAR Mandiri: Anda harus mengonfigurasi akun layanan secara manual dan memberikan kredensial ke Dukungan Google SecOps untuk mengaktifkan ekspor log. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan log SOAR.

Mengakses log Google SecOps SOAR

Log Google SecOps SOAR ditulis dalam namespace terpisah yang disebut chronicle-soar dan dikategorikan berdasarkan layanan yang menghasilkan log.

Untuk mengakses log SOAR Google SecOps, lakukan hal berikut:

  1. Di konsol Google Cloud , buka Logging > Logs Explorer.
  2. Pilih project Google SecOps Google Cloud .

  3. Masukkan filter berikut di kolom, lalu klik Run Query:

    resource.labels.namespace_name="chronicle-soar"

    Berikan teks yang relevan tentang gambar di sini.

  4. Untuk memfilter log dari layanan tertentu, masukkan filter berikut di kotak lalu klik Run Query:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    dengan nilai yang mencakup playbook, python, atau etl.

Label playbook

Label log playbook memberikan cara yang lebih efisien dan mudah untuk mempersempit cakupan kueri. Semua label berada di bagian label setiap pesan log:

Mencatat label dalam pesan.

Untuk mempersempit cakupan log, luaskan pesan log, klik kanan setiap label, lalu sembunyikan atau tampilkan log tertentu:

Berikan teks yang relevan tentang gambar di sini.

Label berikut tersedia:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Log Python

Log berikut tersedia untuk layanan python:

resource.labels.container_name="python"

Label Integrasi dan Konektor:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Label tugas:

  • integration_name
  • integration_version
  • job_name

Label tindakan:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Log ETL

Log berikut tersedia untuk layanan ETL:

resource.labels.container_name="etl"

Label ETL:

  • correlation_id

Misalnya, untuk menyediakan alur penyerapan pemberitahuan, filter menurut correlation_id:

Filter log penyerapan ETL.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.