收集 Google SecOps SOAR 記錄

支援的國家/地區:

您可以在Google Cloud 記錄檔總管中管理及監控 Google Security Operations SOAR 記錄。您也可以使用 Google Cloud 工具設定特殊指標和快訊,在 SOAR 作業記錄中發生特定事件時觸發。

記錄檔會擷取 SOAR 的擷取、轉換、載入 (ETL)、劇本Python 函式中的重要資料。記錄檔會擷取資料類型,包括 Python 指令碼執行、快訊擷取和應對手冊效能。

啟用 SOAR 記錄收集功能

Google SecOps 提供 SOAR 活動的作業記錄,包括應對手冊執行作業、連接器執行作業和 Python 指令碼輸出內容。

  • Google SecOps (SIEM + SOAR 整合):系統預設會啟用 SOAR 記錄的收集功能。平台會自動設定記錄接收器,將這些記錄檔轉送至 Google Cloud 專案中的 Cloud Logging。您不必手動設定任何項目。

  • 獨立 SOAR:您必須手動設定服務帳戶,並將憑證提供給 Google SecOps 支援團隊,才能啟用記錄匯出功能。如需操作說明,請參閱下節。

系統會自動將 SOAR 記錄檔轉送至 _Default 雲端記錄檔值區。由於這會產生費用,Google 建議您設定排除篩選器,捨棄低價值記錄檔或調整保留期限。如要進一步瞭解如何收集記錄及設定篩選器,請參閱「記錄簡介」。

為 SOAR Standalone 設定 SOAR 記錄

如要為 SOAR Standalone 設定 SOAR 記錄檔收集功能,請按照下列步驟操作:

  1. 在您打算查看記錄的 Google Cloud 專案中建立服務帳戶。詳情請參閱「建立服務帳戶」。

  2. 在 Google Cloud 控制台中,依序前往「IAM & Admin」(IAM 與管理) >「IAM」(身分與存取權管理)

    前往「IAM」頁面

  3. 找出您建立的服務帳戶,然後點選「編輯」「編輯主體」

  4. 在「指派角色」專區中,新增「記錄寫入者」角色。詳情請參閱預先定義的記錄寫入者角色

  5. 按一下 [儲存]

  6. 依序前往「IAM 與管理」>「服務帳戶」

  7. 選取您建立的服務帳戶。

  8. 按一下「更多」,然後選取「管理權限」

  9. 在「權限」部分,按一下「授予存取權」

    在「權限」部分授予存取權。

  10. 在「New principals」(新增主體) 欄位中,新增下列主體: gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

    {SOAR-GCP-Project-Id} 替換為 SOAR Google Cloud 專案 ID。如果您不知道 SOAR-GCP-Project-Id,請透過 Google 支援提交支援票證。

  11. 在「指派角色」中,選取「服務帳戶權杖建立者」。詳情請參閱「服務帳戶權杖建立者」。

  12. 按一下 [儲存]

  13. 向 Google SecOps 支援團隊提供已設定的服務帳戶名稱。

存取 Google SecOps SOAR 記錄

Google SecOps 會在名為 chronicle-soar 的獨立命名空間中寫入 SOAR 記錄,並依產生記錄的服務進行分類。

如要存取 Google SecOps SOAR 記錄,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「記錄」 >「Logs Explorer」

    前往 Logs Explorer

  2. 選取 Google SecOps Google Cloud 專案。

  3. 在查詢欄位中輸入下列篩選條件,然後按一下「執行查詢」

    resource.labels.namespace_name="chronicle-soar"

    Logs Explorer 顯示 chronicle-soar 命名空間的篩選器。

  4. 如要篩選特定服務的記錄,請在查詢欄位中輸入下列篩選條件,然後按一下「執行查詢」

    resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="<CONTAINER_NAME>"

    <CONTAINER_NAME> 替換為相關服務容器:playbookpythonetl

偵錯應對手冊步驟

您可以直接在「案件」頁面的「劇本」分頁中,查看個別劇本步驟的執行記錄。無論執行狀態為何,您都能檢查每個步驟的邏輯和結果。

如要查看特定步驟的記錄,請按照下列步驟操作:

  1. 在「案件檢視」中,開啟「Playbook」分頁。
  2. 選取步驟即可查看結果。

  3. 按一下「Logs Explorer」

    這個連結會在 Google Cloud 控制台中開啟 Logs Explorer,並預先設定篩選條件,只顯示該步驟的特定執行 ID。

使用標籤篩選記錄

記錄標籤可有效率且方便地縮小查詢範圍。您可以在每則記錄訊息的 labels 部分找到所有標籤。

Logs Explorer 中記錄訊息內顯示的記錄標籤。

如要縮小記錄範圍,請展開記錄訊息,在每個標籤上按一下滑鼠右鍵,然後隱藏或顯示特定記錄:

在 Logs Explorer 中,對標籤按一下滑鼠右鍵時,可使用篩選選項。

應對手冊記錄標籤

劇本可用的標籤如下:

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python 記錄標籤

以下是 Python 服務可用的標籤,依 resource.labels.container_name="python" 篩選:

整合和連接器標籤

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

工作標籤

  • integration_name
  • integration_version
  • job_name

動作標籤

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL 記錄標籤

以下是 ETL 服務可用的標籤,依 resource.labels.container_name="etl" 篩選:

  • correlation_id

舉例來說,如要追蹤快訊的擷取流程,請依 correlation_id 篩選:

在 Logs Explorer 中,使用 correlation_id 篩選 ETL 記錄的範例。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。