Mengumpulkan log Google SecOps SOAR

Anda dapat mengelola dan memantau log Google Security Operations SOAR di Google Cloud Logs Explorer. Anda juga dapat menggunakan alat untuk menyiapkan metrik dan pemberitahuan khusus yang dipicu oleh peristiwa tertentu dalam log operasi SOAR. Google Cloud

Log ini menangkap data penting dari fungsi ETL, playbook, dan Python SOAR. Jenis data yang diambil mencakup menjalankan skrip Python, penyerapan pemberitahuan, dan performa playbook.

Mengaktifkan pengumpulan log SOAR

Google SecOps menyediakan log operasional untuk aktivitas SOAR, termasuk eksekusi playbook, menjalankan konektor, dan output skrip Python.

• Google SecOps (SIEM + SOAR Terpadu): Pengumpulan log SOAR diaktifkan secara default. Platform ini otomatis mengonfigurasi sink log untuk merutekan log ini ke Cloud Logging di project Anda Google Cloud . Tidak diperlukan konfigurasi manual.
• SOAR Standalone: Anda harus mengonfigurasi akun layanan secara manual dan memberikan kredensial ke Dukungan Google SecOps untuk mengaktifkan ekspor log. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan log SOAR.

Log SOAR untuk kedua set pelanggan secara otomatis dirutekan ke bucket logging cloud _Default. Karena hal ini menimbulkan biaya, Google merekomendasikan untuk menyiapkan filter pengecualian untuk menghapus log bernilai rendah atau menyesuaikan periode retensi. Untuk mengetahui informasi selengkapnya tentang cara mengumpulkan log dan menyiapkan filter, lihat Ringkasan logging.

Mengakses log Google SecOps SOAR

Log Google SecOps SOAR ditulis dalam namespace terpisah yang disebut chronicle-soar dan dikategorikan berdasarkan layanan yang menghasilkan log.

Untuk mengakses log Google SecOps SOAR, lakukan hal berikut:

1. Di Google Cloud konsol, buka Logging > Logs Explorer.
2. Pilih project Google SecOps Google Cloud .

3. Masukkan filter berikut di kolom dan klik Run Query:

   resource.labels.namespace_name="chronicle-soar"
   

   

4. Untuk memfilter log dari layanan tertentu, masukkan filter berikut di kotak dan klik Run Query:

       resource.labels.namespace_name="chronicle-soar" 
       resource.labels.container_name="<container_name>" 
   

   dengan nilai yang mencakup playbook, python, atau etl.

Men-debug langkah playbook

Anda dapat melihat log eksekusi untuk setiap langkah playbook langsung dari tab Playbook di halaman Cases. Hal ini memungkinkan Anda memeriksa logika dan hasil setiap langkah, terlepas dari status eksekusinya.

Untuk melihat log langkah tertentu:

1. Di Case View, buka tab Playbook.
2. Pilih langkah untuk melihat hasilnya.
3. Klik View Logs Explorer.

Link ini akan membuka Logs Explorer di Google Cloud konsol dengan filter yang telah dikonfigurasi sebelumnya untuk ID eksekusi tertentu dari langkah tersebut.

Label playbook

Label log playbook memberikan cara yang lebih efisien dan mudah untuk menyempurnakan cakupan kueri. Semua label terletak di bagian label setiap pesan log:

Untuk mempersempit cakupan log, luaskan pesan log, klik kanan setiap label, dan sembunyikan atau tampilkan log tertentu:

Label berikut tersedia:

• playbook_definition
• playbook_name
• block_name
• block_definition
• case_id
• correlation_id
• integration_name
• action_name

Log Python

Log berikut tersedia untuk layanan Python:

resource.labels.container_name="python"

Label Integrasi dan Konektor:

• integration_name
• integration_version
• connector_name
• connector_instance

Label tugas:

• integration_name
• integration_version
• job_name

Label tindakan:

• integration_name
• integration_version
• integration_instance
• correlation_id
• action_name

Log ETL

Log berikut tersedia untuk layanan ETL:

resource.labels.container_name="etl"

Label ETL:

• correlation_id

Misalnya, untuk memberikan alur penyerapan pemberitahuan, filter berdasarkan correlation_id:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.