Google SecOps SOAR のログを収集する

以下でサポートされています。

Google Security Operations SOAR のログは、 Google Cloud ログ エクスプローラで管理およびモニタリングできます。また、ツールを使用して、SOAR オペレーション ログの特定のイベントによってトリガーされる特別な指標とアラートを設定することもできます。 Google Cloud

ログには、SOAR の抽出、変換、読み込み(ETL)、 ハンドブック、Python 関数から重要なデータがキャプチャされます。 ログには、Python スクリプトの実行、アラートの取り込み、ハンドブックのパフォーマンスなどのデータ型がキャプチャされます。

SOAR ログ収集を有効にする

Google SecOps は、ハンドブックの実行、コネクタの実行、Python スクリプトの出力など、SOAR アクティビティのオペレーション ログを提供します。

  • Google SecOps(SIEM + SOAR 統合): デフォルトでは、SOAR ログの収集が有効になっています。プラットフォームは、これらのログを プロジェクトの Cloud Logging に転送するようにログシンクを自動的に構成します。 Google Cloud 手動で構成する必要はありません。

  • SOAR スタンドアロン: ログのエクスポートを有効にするには、サービス アカウントを手動で構成し、認証情報を Google SecOps サポートに提供する必要があります。手順については、次のセクションをご覧ください。

Google Cloud

SOAR ログは、_Default Cloud Logging バケットに自動的に転送されます。これにより費用が発生するため、価値の低いログを削除するか、保持期間を調整するように除外フィルタを設定することをおすすめします。ログの収集とフィルタの設定の詳細については、ロギングの概要をご覧ください。

SOAR スタンドアロンの SOAR ログを設定する

SOAR スタンドアロンの SOAR ログ収集を設定する手順は次のとおりです。

  1. ログを表示する Google Cloud プロジェクトにサービス アカウントを作成します。詳細については、サービス アカウントを作成するをご覧ください。

  2. コンソールで、[IAM と管理] > [IAM] に移動します。 Google Cloud

    [IAM] に移動

  3. 作成したサービス アカウントを見つけて、[edit] [**プリンシパルの編集**] をクリックします。

  4. [ロールを割り当てる] セクションで、ログ書き込み ロールを追加します。詳細については、事前定義のログ書き込みロールをご覧ください。

  5. [保存] をクリックします。

  6. [IAM と管理] > [サービス アカウント] に移動します。

  7. 作成したサービス アカウントを選択します。

  8. [ その他] をクリックし、[権限を管理] を選択します。

  9. [権限] セクションで、[アクセス権を付与] をクリックします。

    [権限] セクションでアクセス権を付与します。

  10. [新しいプリンシパル] フィールドに、次のプリンシパルを追加します。 gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

    {SOAR-GCP-Project-Id} は、実際の SOAR Google Cloud プロジェクト ID に置き換えます。SOAR-GCP-Project-Id がわからない場合は、Google サポートからチケットを送信してください。

  11. [ロールを割り当てる] で、[サービス アカウント トークン作成者] を選択します。詳細については、 サービス アカウント トークン作成者をご覧ください。

  12. [保存] をクリックします。

  13. 構成したサービス アカウントの名前を Google SecOps サポートチームに提供します。

Google SecOps SOAR のログにアクセスする

Google SecOps は、SOAR ログを chronicle-soar という別の Namespace に書き込み、ログを生成したサービス別に分類します。

Google SecOps SOAR のログにアクセスする手順は次のとおりです。

  1. コンソールで、[ロギング] > [ログ エクスプローラ] に移動します。 Google Cloud

    [ログ エクスプローラ] に移動

  2. Google SecOps Google Cloud プロジェクトを選択します。

  3. クエリ フィールドに次のフィルタを入力し、[クエリを実行] をクリックします。

    resource.labels.namespace_name="chronicle-soar"

    chronicle-soar Namespace のフィルタを表示するログ エクスプローラ。

  4. 特定のサービスのログをフィルタするには、クエリ フィールドに次のフィルタを入力して、[クエリを実行] をクリックします。

    resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<CONTAINER_NAME>"

    <CONTAINER_NAME> は、関連するサービス コンテナ(playbookpythonetl)に置き換えます。

ハンドブックのステップのデバッグ

個々のハンドブックのステップの実行ログは、[ケース] ページの [ハンドブック] タブから直接確認できます。これにより、実行ステータスに関係なく、すべてのステップのロジックと結果を調べることができます。

特定のステップのログを表示する手順は次のとおりです。

  1. [**ケースビュー**] で、[**ハンドブック**] タブを開きます。
  2. ステップを選択して結果を表示します。

  3. [ログ エクスプローラを表示] をクリックします。

    このリンクをクリックすると、[ログ エクスプローラ] が Google Cloud コンソールで開き、そのステップの特定の実行 ID のフィルタが 事前構成されます。

ラベルを使用してログをフィルタする

ログラベルを使用すると、クエリ スコープを効率的かつ簡単に絞り込むことができます。すべてのラベルは、各ログメッセージの labels セクションにあります。

ログ エクスプローラのログ メッセージ内に表示されるログラベル。

ログスコープを絞り込むには、ログメッセージを展開し、各ラベルを右クリックして、特定のログを表示または非表示にします。

ログ エクスプローラでラベルを右クリックすると、フィルタ オプションが表示されます。

ハンドブックのログラベル

ハンドブックでは、次のラベルを使用できます。

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python のログラベル

Python サービスでは、resource.labels.container_name="python" でフィルタされた次のラベルを使用できます。

インテグレーションとコネクタのラベル

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

ジョブラベル

  • integration_name
  • integration_version
  • job_name

アクション ラベル

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL のログラベル

ETL サービスでは、resource.labels.container_name="etl" でフィルタされた次のラベルを使用できます。

  • correlation_id

たとえば、アラートの取り込みフローをトレースするには、correlation_id でフィルタします。

ETL ログの correlation_id を使用したログ エクスプローラのフィルタの例。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。