Raccogliere i log della piattaforma SOAR

Supportato in:

Puoi gestire e monitorare i log SOAR di Google Security Operations in Google Cloud Esplora log. Puoi anche utilizzare gli strumenti Google Cloud per configurare metriche e avvisi speciali attivati da eventi specifici nei log delle operazioni SOAR.

I log acquisiscono i dati essenziali dalle funzioni Estrai, Trasforma, Carica (ETL), playbook e Python di SOAR. I log acquisiscono tipi di dati tra cui l'esecuzione di script Python, l'inserimento di avvisi e il rendimento dei playbook.

Abilita la raccolta dei log SOAR

Google SecOps fornisce log operativi per le attività SOAR, incluse le esecuzioni dei playbook, le esecuzioni dei connettori e gli output degli script Python.

  • Google SecOps (SIEM + SOAR Unified): per impostazione predefinita, il sistema attiva la raccolta dei log SOAR. La piattaforma configura automaticamente i sink di log per indirizzare questi log a Cloud Logging nel tuo progetto Google Cloud . Non è necessario eseguire alcuna configurazione manuale.

  • SOAR Standalone:devi configurare manualmente un account di servizio e fornire le credenziali all'assistenza Google SecOps per abilitare l'esportazione dei log. Per le istruzioni, consulta la sezione seguente.

Il sistema esegue automaticamente il routing dei log SOAR al bucket di logging cloud _Default. Poiché ciò comporta costi, Google consiglia di configurare i filtri di esclusione per eliminare i log di scarso valore o per modificare i periodi di conservazione. Per saperne di più sulla raccolta dei log e sulla configurazione dei filtri, consulta la panoramica di Logging.

Configura i log SOAR per SOAR Standalone

Per configurare la raccolta dei log SOAR per SOAR Standalone:

  1. Crea un service account nel progetto Google Cloud in cui prevedi di visualizzare i log. Per maggiori dettagli, vedi Creare service account.

  2. Nella console Google Cloud , vai a IAM e amministrazione > IAM.

    Vai a IAM

  3. Individua il service account che hai creato e fai clic su Modifica Modifica entità.

  4. Nella sezione Assegna ruoli, aggiungi il ruolo Autore log. Per saperne di più, consulta il ruolo Logs Writer predefinito.

  5. Fai clic su Salva.

  6. Vai a IAM e amministrazione > Service account.

  7. Seleziona il account di servizio che hai creato.

  8. Fai clic su Altro e seleziona Gestisci autorizzazioni.

  9. Nella sezione Autorizzazioni, fai clic su Concedi accesso.

    Concedi l'accesso nella sezione Autorizzazioni.

  10. Nel campo Nuove entità, aggiungi la seguente entità: gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

    Sostituisci {SOAR-GCP-Project-Id} con l'ID progetto Google Cloud SOAR. Se non conosci l'SOAR-GCP-Project-Id, invia una richiesta tramite l'Assistenza Google.

  11. In Assegna ruoli, seleziona Creatore token account di servizio. Per saperne di più, consulta Creatore token service account.

  12. Fai clic su Salva.

  13. Fornisci il nome del service account configurato al team di assistenza Google SecOps.

Accedere ai log di Google SecOps SOAR

Google SecOps scrive i log SOAR in uno spazio dei nomi separato chiamato chronicle-soar e li classifica in base al servizio che li ha generati.

Per accedere ai log di Google SecOps SOAR:

  1. Nella console Google Cloud , vai a Logging > Esplora log.

    Vai a Esplora log

  2. Seleziona il progetto Google SecOps Google Cloud .

  3. Inserisci il seguente filtro nel campo della query e fai clic su Esegui query:

    resource.labels.namespace_name="chronicle-soar"
    

    Esplora log che mostra un filtro per lo spazio dei nomi chronicle-soar.

  4. Per filtrare i log di un servizio specifico, inserisci i seguenti filtri nel campo della query e fai clic su Esegui query:

    resource.labels.namespace_name="chronicle-soar"
    resource.labels.container_name="<CONTAINER_NAME>"
    

    Sostituisci <CONTAINER_NAME> con il container di servizio pertinente: playbook, python o etl.

Debug del passaggio del playbook

Puoi visualizzare i log di esecuzione per un singolo passaggio del playbook direttamente dalla scheda Playbook nella pagina Richieste. In questo modo puoi esaminare la logica e il risultato di ogni passaggio, indipendentemente dal relativo stato di esecuzione.

Per visualizzare i log di un passaggio specifico:

  1. Nella visualizzazione della richiesta, apri la scheda Playbook.
  2. Seleziona un passaggio per visualizzarne i risultati.
  3. Fai clic su Visualizza Esplora log.

    Il link apre Esplora log nella console Google Cloud con un filtro preconfigurato per l'ID esecuzione specifico di questo passaggio.

Filtra i log utilizzando le etichette

Le etichette dei log forniscono un modo efficiente e pratico per perfezionare l'ambito di una query. Puoi trovare tutte le etichette nella sezione labels di ogni messaggio di log.

Etichette dei log mostrate all&#39;interno di un messaggio di log in Esplora log.

Per restringere l'ambito del log, espandi il messaggio di log, fai clic con il tasto destro del mouse su ogni etichetta e nascondi o mostra log specifici:

Opzioni di filtro disponibili quando fai clic con il tasto destro del mouse su un&#39;etichetta in Esplora log.

Etichette dei log del playbook

Per i playbook sono disponibili le seguenti etichette:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Etichette dei log Python

Per il servizio Python sono disponibili le seguenti etichette, filtrate per resource.labels.container_name="python":

Etichette di integrazione e connettore

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Etichette dei job

  • integration_name
  • integration_version
  • job_name

Etichette di azione

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Etichette dei log ETL

Per il servizio ETL sono disponibili le seguenti etichette, filtrate per resource.labels.container_name="etl":

  • correlation_id

Ad esempio, per tracciare il flusso di importazione di un avviso, filtra per correlation_id:

Filtro di esempio in Esplora log che utilizza correlation_id per i log ETL.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.