Raccogliere i log di Google SecOps SOAR

Supportato in:

Google SecOps

Puoi gestire e monitorare i log SOAR di Google Security Operations in Google Cloud Esplora log. Puoi anche utilizzare gli strumenti Google Cloud per configurare metriche e avvisi speciali che vengono attivati da eventi specifici nei log delle operazioni SOAR.

I log acquisiscono i dati essenziali dalle funzioni ETL, playbook e Python di SOAR. I tipi di dati acquisiti includono l'esecuzione di script Python, l'inserimento di avvisi e il rendimento dei playbook.

Abilitare la raccolta dei log SOAR

Google SecOps fornisce log operativi per le attività SOAR, incluse le esecuzioni dei playbook, le esecuzioni dei connettori e gli output degli script Python.

Google SecOps (SIEM + SOAR Unified): la raccolta dei log SOAR è attivata per impostazione predefinita. La piattaforma configura automaticamente i sink di log per indirizzare questi log a Cloud Logging nel tuo progetto Google Cloud . Non è necessaria alcuna configurazione manuale.
SOAR Standalone:devi configurare manualmente un account di servizio e fornire le credenziali all'assistenza Google SecOps per abilitare l'esportazione dei log. Per saperne di più, vedi Configurare i log SOAR.

Accedere ai log di Google SecOps SOAR

I log di Google SecOps SOAR vengono scritti in uno spazio dei nomi separato chiamato chronicle-soar e sono classificati in base al servizio che ha generato il log.

Per accedere ai log di Google SecOps SOAR:

Nella console Google Cloud , vai a Logging > Esplora log.
Seleziona il progetto Google SecOps Google Cloud .
Inserisci il seguente filtro nel campo e fai clic su Esegui query:
```
resource.labels.namespace_name="chronicle-soar"
```
Per filtrare i log di un servizio specifico, inserisci i seguenti filtri nella casella e fai clic su Esegui query:
```
    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>" 
```
dove i valori includono playbook, python o etl.

Debug dei passaggi del playbook

Puoi visualizzare i log di esecuzione per un singolo passaggio del playbook direttamente dalla scheda Playbook nella pagina Case. In questo modo puoi esaminare la logica e il risultato di ogni passaggio, indipendentemente dal relativo stato di esecuzione.

Per visualizzare i log di un passaggio specifico:

Nella visualizzazione della richiesta, apri la scheda Playbook.
Seleziona un passaggio per visualizzarne i risultati.
Fai clic su Visualizza Esplora log.

Il link apre Esplora log nella console Google Cloud con un filtro preconfigurato per l'ID esecuzione specifico di questo passaggio.

Etichette playbook

Le etichette dei log del playbook forniscono un modo più efficiente e pratico per perfezionare l'ambito di una query. Tutte le etichette si trovano nella sezione delle etichette di ogni messaggio di log:

Registra le etichette nei messaggi.

Per restringere l'ambito del log, espandi il messaggio di log, fai clic con il tasto destro del mouse su ogni etichetta e nascondi o mostra log specifici:

Fornisci qui un testo pertinente sull'immagine.

Sono disponibili le seguenti etichette:

playbook_definition
playbook_name
block_name
block_definition
case_id
correlation_id
integration_name
action_name

Log Python

Per il servizio Python sono disponibili i seguenti log:

resource.labels.container_name="python"

Etichette di integrazione e connettore:

integration_name
integration_version
connector_name
connector_instance

Etichette dei job:

integration_name
integration_version
job_name

Etichette azione:

integration_name
integration_version
integration_instance
correlation_id
action_name

Log ETL

Per il servizio ETL sono disponibili i seguenti log:

resource.labels.container_name="etl"

Etichette ETL:

correlation_id

Ad esempio, per fornire il flusso di importazione per un avviso, filtra in base a correlation_id:

Filtro dei log di importazione ETL.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.