Raccogliere i log della piattaforma SOAR
Puoi gestire e monitorare i log SOAR di Google Security Operations in Google Cloud Esplora log. Puoi anche utilizzare gli strumenti Google Cloud per configurare metriche e avvisi speciali attivati da eventi specifici nei log delle operazioni SOAR.
I log acquisiscono i dati essenziali dalle funzioni Estrai, Trasforma, Carica (ETL), playbook e Python di SOAR. I log acquisiscono tipi di dati tra cui l'esecuzione di script Python, l'inserimento di avvisi e il rendimento dei playbook.
Abilita la raccolta dei log SOAR
Google SecOps fornisce log operativi per le attività SOAR, incluse le esecuzioni dei playbook, le esecuzioni dei connettori e gli output degli script Python.
Google SecOps (SIEM + SOAR Unified): per impostazione predefinita, il sistema attiva la raccolta dei log SOAR. La piattaforma configura automaticamente i sink di log per indirizzare questi log a Cloud Logging nel tuo progetto Google Cloud . Non è necessario eseguire alcuna configurazione manuale.
SOAR Standalone:devi configurare manualmente un account di servizio e fornire le credenziali all'assistenza Google SecOps per abilitare l'esportazione dei log. Per le istruzioni, consulta la sezione seguente.
Il sistema esegue automaticamente il routing dei log SOAR al bucket di logging cloud _Default. Poiché ciò comporta costi, Google consiglia di configurare i filtri di esclusione per eliminare i log di scarso valore o per modificare i periodi di conservazione. Per saperne di più sulla raccolta
dei log e sulla configurazione dei filtri, consulta la panoramica di Logging.
Configura i log SOAR per SOAR Standalone
Per configurare la raccolta dei log SOAR per SOAR Standalone:
Crea un service account nel progetto Google Cloud in cui prevedi di visualizzare i log. Per maggiori dettagli, vedi Creare service account.
Nella console Google Cloud , vai a IAM e amministrazione > IAM.
Individua il service account che hai creato e fai clic su Modifica Modifica entità.
Nella sezione Assegna ruoli, aggiungi il ruolo Autore log. Per saperne di più, consulta il ruolo Logs Writer predefinito.
Fai clic su Salva.
Vai a IAM e amministrazione > Service account.
Seleziona il account di servizio che hai creato.
Fai clic su Altro e seleziona Gestisci autorizzazioni.
Nella sezione Autorizzazioni, fai clic su Concedi accesso.

Nel campo Nuove entità, aggiungi la seguente entità:
gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.comSostituisci
{SOAR-GCP-Project-Id}con l'ID progetto Google Cloud SOAR. Se non conosci l'SOAR-GCP-Project-Id, invia una richiesta tramite l'Assistenza Google.In Assegna ruoli, seleziona Creatore token account di servizio. Per saperne di più, consulta Creatore token service account.
Fai clic su Salva.
Fornisci il nome del service account configurato al team di assistenza Google SecOps.
Accedere ai log di Google SecOps SOAR
Google SecOps scrive i log SOAR in uno spazio dei nomi separato chiamato chronicle-soar e li classifica in base al servizio che li ha generati.
Per accedere ai log di Google SecOps SOAR:
Nella console Google Cloud , vai a Logging > Esplora log.
Seleziona il progetto Google SecOps Google Cloud .
Inserisci il seguente filtro nel campo della query e fai clic su Esegui query:
resource.labels.namespace_name="chronicle-soar"
Per filtrare i log di un servizio specifico, inserisci i seguenti filtri nel campo della query e fai clic su Esegui query:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<CONTAINER_NAME>"Sostituisci
<CONTAINER_NAME>con il container di servizio pertinente:playbook,pythonoetl.
Debug del passaggio del playbook
Puoi visualizzare i log di esecuzione per un singolo passaggio del playbook direttamente dalla scheda Playbook nella pagina Richieste. In questo modo puoi esaminare la logica e il risultato di ogni passaggio, indipendentemente dal relativo stato di esecuzione.
Per visualizzare i log di un passaggio specifico:
- Nella visualizzazione della richiesta, apri la scheda Playbook.
- Seleziona un passaggio per visualizzarne i risultati.
Fai clic su Visualizza Esplora log.
Il link apre Esplora log nella console Google Cloud con un filtro preconfigurato per l'ID esecuzione specifico di questo passaggio.
Filtra i log utilizzando le etichette
Le etichette dei log forniscono un modo efficiente e pratico per perfezionare l'ambito di una query. Puoi trovare tutte le etichette nella sezione labels di ogni
messaggio di log.

Per restringere l'ambito del log, espandi il messaggio di log, fai clic con il tasto destro del mouse su ogni etichetta e nascondi o mostra log specifici:

Etichette dei log del playbook
Per i playbook sono disponibili le seguenti etichette:
playbook_definitionplaybook_nameblock_nameblock_definitioncase_idcorrelation_idintegration_nameaction_name
Etichette dei log Python
Per il servizio Python sono disponibili le seguenti etichette, filtrate per resource.labels.container_name="python":
Etichette di integrazione e connettore
integration_nameintegration_versionconnector_nameconnector_instance
Etichette dei job
integration_nameintegration_versionjob_name
Etichette di azione
integration_nameintegration_versionintegration_instancecorrelation_idaction_name
Etichette dei log ETL
Per il servizio ETL sono disponibili le seguenti etichette, filtrate per resource.labels.container_name="etl":
correlation_id
Ad esempio, per tracciare il flusso di importazione di un avviso, filtra per
correlation_id:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.