Coletar registros do Google SecOps SOAR

É possível gerenciar e monitorar os registros do Google Security Operations SOAR na Google Cloud Análise de registros. Você também pode usar ferramentas do Google Cloud para configurar métricas e alertas especiais que são acionados por eventos específicos nos registros de operações do SOAR.

Os registros capturam dados essenciais das funções de extração, transformação e carregamento (ETL), playbook e Python do SOAR. Os registros capturam tipos de dados, incluindo a execução de scripts Python, a ingestão de alertas e a performance do playbook.

Ativar a coleta de registros do SOAR

O Google SecOps fornece registros operacionais para atividades de SOAR, incluindo execuções de playbook, execuções de conector e saídas de script Python.

• Google SecOps (SIEM + SOAR unificado): por padrão, o sistema ativa a coleta de registros do SOAR. A plataforma configura automaticamente coletores de registro para encaminhar esses registros ao Cloud Logging no projeto Google Cloud . Não é necessário fazer nenhuma configuração manual.

• SOAR independente:você precisa configurar manualmente uma conta de serviço e fornecer as credenciais ao suporte do Google SecOps para ativar a exportação de registros. Consulte a seção a seguir para instruções.

O sistema encaminha automaticamente os registros do SOAR para o bucket de registros do Cloud _Default. Como isso gera custos, o Google recomenda configurar filtros de exclusão para descartar registros de baixo valor ou ajustar os períodos de retenção. Para mais informações sobre como coletar registros e configurar filtros, consulte Visão geral do Logging.

Configurar registros do SOAR para o SOAR independente

Para configurar a coleta de registros do SOAR Standalone, siga estas etapas:

1. Crie uma conta de serviço no projeto Google Cloud em que você planeja ver os registros. Para mais detalhes, consulte Criar contas de serviço.

2. No console do Google Cloud , acesse IAM e administrador > IAM.

   Acessar IAM

3. Localize a conta de serviço que você criou e clique em Editar Editar principal.

4. Na seção Atribuir papéis, adicione o papel Gravador de registros. Para mais informações, consulte o papel predefinido de gravador de registros.

5. Clique em Salvar.

6. Acesse IAM e administrador > Contas de serviço.

7. Selecione a conta de serviço que você criou.

8. Clique em more_vert Mais e selecione Gerenciar permissões.

9. Na seção Permissões, clique em Conceder acesso.

   

10. No campo Novos principais, adicione o seguinte principal: gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

    Substitua {SOAR-GCP-Project-Id} pelo ID do projeto Google Cloud do SOAR. Se você não souber o SOAR-GCP-Project-Id, envie um tíquete pelo Suporte do Google.

11. Em Atribuir papéis, selecione Criador de token de conta de serviço. Para mais informações, consulte Criador de tokens de conta de serviço.

12. Clique em Salvar.

13. Informe o nome da conta de serviço configurada à equipe de suporte do Google SecOps.

Acessar os registros da SOAR do Google SecOps

O Google SecOps grava os registros do SOAR em um namespace separado chamado chronicle-soar e os categoriza pelo serviço que gerou o registro.

Para acessar os registros do Google SecOps SOAR, faça o seguinte:

1. No console Google Cloud , acesse Geração de registros > Análise de registros.

   Acessar a Análise de registros

2. Selecione o projeto do Google SecOps Google Cloud .

3. Insira o filtro a seguir no campo de consulta e clique em Executar consulta:

   resource.labels.namespace_name="chronicle-soar"
   

   

4. Para filtrar registros de um serviço específico, insira os seguintes filtros no campo de consulta e clique em Executar consulta:

   resource.labels.namespace_name="chronicle-soar"
   resource.labels.container_name="<CONTAINER_NAME>"
   

   Substitua <CONTAINER_NAME> pelo contêiner de serviço relevante: playbook, python ou etl.

Depuração de etapas do playbook

É possível ver os registros de execução de uma etapa individual do playbook diretamente na guia Playbook da página Casos. Isso permite inspecionar a lógica e o resultado de cada etapa, independente do status de execução.

Para ver os registros de uma etapa específica:

1. Na Visualização de caso, abra a guia Playbook.
2. Selecione uma etapa para conferir os resultados.

3. Clique em Abrir a Análise de registros.

   O link abre o Análise de registros no console do Google Cloud com um filtro pré-configurado para o ID de execução específico dessa etapa.

Filtrar registros usando rótulos

Os rótulos de registro oferecem uma maneira eficiente e conveniente de refinar o escopo de uma consulta. Você pode encontrar todos os rótulos na seção labels de cada mensagem de registro.

Para restringir o escopo do registro, expanda a mensagem de registro, clique com o botão direito do mouse em cada rótulo e oculte ou mostre registros específicos:

Rótulos de registros de playbook

Os seguintes rótulos estão disponíveis para os playbooks:

• playbook_definition
• playbook_name
• block_name
• block_definition
• case_id
• correlation_id
• integration_name
• action_name

Rótulos de registros do Python

Os seguintes rótulos estão disponíveis para o serviço Python, filtrados por resource.labels.container_name="python":

Rótulos de integração e conector

• integration_name
• integration_version
• connector_name
• connector_instance

Rótulos de job

• integration_name
• integration_version
• job_name

Rótulos de ação

• integration_name
• integration_version
• integration_instance
• correlation_id
• action_name

Rótulos de registros de ETL

Os seguintes rótulos estão disponíveis para o serviço de ETL, filtrados por resource.labels.container_name="etl":

• correlation_id

Por exemplo, para rastrear o fluxo de ingestão de um alerta, filtre por correlation_id:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.