Coletar registros do Google SecOps SOAR

Compatível com:

É possível gerenciar e monitorar os registros do SOAR do Google Security Operations no Google Cloud Explorador de registros. Você também pode usar ferramentas do Google Cloud para configurar métricas e alertas especiais que são acionados por eventos específicos nos registros de operações do SOAR.

Os registros capturam dados essenciais das funções de ETL, playbook e Python do SOAR. Os tipos de dados capturados incluem a execução de scripts Python, a ingestão de alertas e a performance do playbook.

Ativar a coleta de registros do SOAR

O Google SecOps fornece registros operacionais para atividades de SOAR, incluindo execuções de playbook, execuções de conector e saídas de script Python.

  • Google SecOps (SIEM + SOAR unificado): a coleta de registros do SOAR é ativada por padrão. A plataforma configura automaticamente coletores de registros para encaminhar esses registros ao Cloud Logging no projeto Google Cloud . Não é necessário fazer configurações manuais.
  • SOAR independente:você precisa configurar manualmente uma conta de serviço e fornecer as credenciais ao suporte do Google SecOps para ativar a exportação de registros. Para mais informações, consulte Configurar registros do SOAR.

Acessar os registros do SOAR do Google SecOps

Os registros do SOAR do Google SecOps são gravados em um namespace separado chamado chronicle-soar e são categorizados pelo serviço que gerou o registro.

Para acessar os registros do Google SecOps SOAR, faça o seguinte:

  1. No console Google Cloud , acesse Logging > Explorador de registros.
  2. Selecione o projeto do Google SecOps Google Cloud .

  3. Insira o filtro a seguir no campo e clique em Executar consulta:

    resource.labels.namespace_name="chronicle-soar"

    Forneça um texto relevante sobre a imagem aqui.

  4. Para filtrar registros de um serviço específico, insira os seguintes filtros na caixa e clique em Executar consulta:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    em que os valores incluem playbook, python ou etl.

Marcadores de playbook

Os rótulos de registros do playbook oferecem uma maneira mais eficiente e conveniente de refinar o escopo de uma consulta. Todos os rótulos estão na seção de rótulos de cada mensagem de registro:

Registrar rótulos nas mensagens.

Para restringir o escopo do registro, expanda a mensagem, clique com o botão direito do mouse em cada rótulo e oculte ou mostre registros específicos:

Forneça um texto relevante sobre a imagem aqui.

Os seguintes rótulos estão disponíveis:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registros do Python

Os seguintes registros estão disponíveis para o serviço Python:

resource.labels.container_name="python"

Rótulos de integração e conector:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Rótulos do job:

  • integration_name
  • integration_version
  • job_name

Rótulos de ação:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registros de ETL

Os seguintes registros estão disponíveis para o serviço de ETL:

resource.labels.container_name="etl"

Rótulos de ETL:

  • correlation_id

Por exemplo, para fornecer o fluxo de ingestão de um alerta, filtre por correlation_id:

Filtro de registros de ingestão de ETL.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.