Google SecOps SOAR ログを収集する
Google Security Operations SOAR ログは、Google Cloud ログ エクスプローラで管理およびモニタリングできます。 Google Cloud ツールを使用して、SOAR オペレーション ログの特定のイベントによってトリガーされる特別な指標とアラートを設定することもできます。
ログには、SOAR の ETL、プレイブック、Python 関数から重要なデータがキャプチャされます。キャプチャされるデータの種類には、Python スクリプトの実行、アラートの取り込み、プレイブックのパフォーマンスなどがあります。
SOAR ログ収集を有効にする
Google SecOps は、ハンドブックの実行、コネクタの実行、Python スクリプトの出力など、SOAR アクティビティの運用ログを提供します。
- Google SecOps(SIEM + SOAR 統合): SOAR ログの収集はデフォルトで有効になっています。プラットフォームは、これらのログを Google Cloud プロジェクトの Cloud Logging に転送するようにログシンクを自動的に構成します。手動構成は必要ありません。
- SOAR Standalone: ログエクスポートを有効にするには、サービス アカウントを手動で構成し、認証情報を Google SecOps サポートに提供する必要があります。詳細については、SOAR ログを設定するをご覧ください。
Google SecOps SOAR ログにアクセスする
Google SecOps SOAR ログは、chronicle-soar という別の Namespace に書き込まれ、ログを生成したサービス別に分類されます。
Google SecOps SOAR ログにアクセスする手順は次のとおりです。
- Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] に移動します。
- Google SecOps Google Cloud プロジェクトを選択します。
フィールドに次のフィルタを入力し、[クエリを実行] をクリックします。
resource.labels.namespace_name="chronicle-soar"
特定のサービスのログをフィルタリングするには、次のフィルタをボックスに入力して [クエリを実行] をクリックします。
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"値には
playbook、python、またはetlが含まれます。
ハンドブックのラベル
プレイブック ログラベルを使用すると、クエリの範囲をより効率的かつ便利に絞り込むことができます。すべてのラベルは、各ログメッセージのラベル セクションにあります。
ログスコープを絞り込むには、ログメッセージを展開し、各ラベルを右クリックして、特定のログを表示または非表示にします。
次のラベルを使用できます。
playbook_definitionplaybook_nameblock_nameblock_definitioncase_idcorrelation_idintegration_nameaction_name
Python ログ
python サービスでは、次のログを使用できます。
resource.labels.container_name="python"
インテグレーションとコネクタのラベル:
integration_nameintegration_versionconnector_nameconnector_instance
ジョブラベル:
integration_nameintegration_versionjob_name
アクション ラベル:
integration_nameintegration_versionintegration_instancecorrelation_idaction_name
ETL ログ
ETL サービスでは、次のログを使用できます。
resource.labels.container_name="etl"
ETL ラベル:
correlation_id
たとえば、アラートの取り込みフローを指定するには、correlation_id でフィルタします。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。