Raccogliere i log di Google SecOps SOAR

Puoi gestire e monitorare i log di Google Security Operations SOAR in Google Cloud Esplora log. Puoi anche utilizzare Google Cloud gli strumenti per configurare metriche e avvisi speciali attivati da eventi specifici nei log delle operazioni SOAR.

I log acquisiscono i dati essenziali dalle funzioni di estrazione, trasformazione e caricamento (ETL), playbook e Python di SOAR. I log acquisiscono tipi di dati, tra cui l'esecuzione di script Python, l'importazione di avvisi e il rendimento dei playbook.

Abilitare la raccolta dei log SOAR

Google SecOps fornisce log operativi per le attività SOAR, tra cui esecuzioni di playbook, esecuzioni di connettori e output di script Python.

• Google SecOps (SIEM + SOAR Unified): per impostazione predefinita, il sistema abilita la raccolta dei log SOAR. La piattaforma configura automaticamente i sink di log per eseguire il routing di questi log a Cloud Logging nel tuo Google Cloud progetto. Non è necessario eseguire alcuna configurazione manuale.

• SOAR Standalone: devi configurare manualmente un account di servizio e fornire le credenziali all'assistenza Google SecOps per abilitare l'esportazione dei log. Per istruzioni, consulta la sezione seguente.

Il sistema esegue automaticamente il routing dei log SOAR al bucket di log di Cloud Logging _Default. Poiché ciò comporta costi, Google consiglia di configurare i filtri di esclusione per eliminare i log di basso valore o per modificare i periodi di conservazione. Per ulteriori informazioni sulla raccolta dei log e sulla configurazione dei filtri, consulta la panoramica di Logging.

Configurare i log SOAR per SOAR Standalone

Per configurare la raccolta dei log SOAR per SOAR Standalone:

1. Crea un account di servizio nel Google Cloud progetto in cui prevedi di visualizzare i log. Per i dettagli, vedi Creare account di servizio.

2. Nella Google Cloud console, vai a IAM e amministrazione > IAM.

   Vai a IAM

3. Individua l'account di servizio che hai creato e fai clic su modifica Modifica entità.

4. Nella sezione Assegna ruoli, aggiungi il ruolo Writer log. Per ulteriori informazioni, consulta il ruolo predefinito Writer log.

5. Fai clic su Salva.

6. Vai a IAM e amministrazione > Account di servizio.

7. Seleziona il account di servizio che hai creato.

8. Fai clic su more_vert Altro e seleziona Gestisci autorizzazioni.

9. Nella sezione Autorizzazioni, fai clic su Concedi accesso.

   

10. Nel campo Nuove entità, aggiungi la seguente entità: gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

    Sostituisci {SOAR-GCP-Project-Id} con l'ID del progetto SOAR Google Cloud . Se non conosci il SOAR-GCP-Project-Id, invia un ticket tramite l'assistenza Google.

11. In Assegna ruoli, seleziona Creatore token account di servizio. Per ulteriori informazioni, consulta Creatore token account di servizio.

12. Fai clic su Salva.

13. Fornisci il nome dell'account di servizio configurato al team di assistenza Google SecOps.

Accedere ai log di Google SecOps SOAR

Google SecOps scrive i log SOAR in uno spazio dei nomi separato denominato chronicle-soar e li classifica in base al servizio che ha generato il log.

Per accedere ai log di Google SecOps SOAR:

1. Nella Google Cloud console, vai a Logging > Esplora log.

   Vai a Esplora log

2. Seleziona il progetto Google SecOps Google Cloud .

3. Inserisci il seguente filtro nel campo della query e fai clic su Esegui query:

   resource.labels.namespace_name="chronicle-soar"
   

   

4. Per filtrare i log di un servizio specifico, inserisci i seguenti filtri nel campo della query e fai clic su Esegui query:

   resource.labels.namespace_name="chronicle-soar"
   resource.labels.container_name="<CONTAINER_NAME>"
   

   Sostituisci <CONTAINER_NAME> con il container di servizio pertinente: playbook, python o etl.

Debug dei passaggi del playbook

Puoi visualizzare i log di esecuzione per un singolo passaggio del playbook direttamente dalla scheda Playbook nella pagina Casi. In questo modo puoi esaminare la logica e il risultato di ogni passaggio, indipendentemente dal relativo stato di esecuzione.

Per visualizzare i log di un passaggio specifico:

1. Nella visualizzazione del caso, apri la scheda Playbook.
2. Seleziona un passaggio per visualizzarne i risultati.

3. Fai clic su Visualizza Esplora log.

   Il link apre Esplora log nella Google Cloud console con un filtro preconfigurato per l'ID di esecuzione specifico di quel passaggio.

Filtrare i log utilizzando le etichette

Le etichette dei log forniscono un modo efficiente e pratico per perfezionare l'ambito di una query. Puoi trovare tutte le etichette nella sezione labels di ogni messaggio di log.

Per restringere l'ambito dei log, espandi il messaggio di log, fai clic con il tasto destro del mouse su ogni etichetta e nascondi o mostra log specifici:

Etichette dei log dei playbook

Per i playbook sono disponibili le seguenti etichette:

• playbook_definition
• playbook_name
• block_name
• block_definition
• case_id
• correlation_id
• integration_name
• action_name

Etichette dei log Python

Per il servizio Python sono disponibili le seguenti etichette, filtrate in base a resource.labels.container_name="python":

Etichette di integrazione e connettore

• integration_name
• integration_version
• connector_name
• connector_instance

Etichette dei job

• integration_name
• integration_version
• job_name

Etichette delle azioni

• integration_name
• integration_version
• integration_instance
• correlation_id
• action_name

Etichette dei log ETL

Per il servizio ETL sono disponibili le seguenti etichette, filtrate in base a resource.labels.container_name="etl":

• correlation_id

Ad esempio, per tracciare il flusso di importazione di un avviso, filtra in base a correlation_id:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.