Recopilar registros de SOAR

Disponible en:

En este documento se describe cómo usar el Explorador de registros Google Cloud para gestionar y monitorizar los registros de SOAR.

La integración ofrece las siguientes funciones clave:

  • Monitorización centralizada: consulta y analiza los datos esenciales capturados de las funciones ETL, Playbook y Python de la plataforma SOAR de Google SecOps (por ejemplo, la ejecución de scripts de Python, la ingestión de alertas y el rendimiento de los Playbooks).

  • Métricas personalizadas y alertas: usa Google Cloud herramientas para configurar métricas personalizadas y alertas basadas en eventos específicos registrados en los registros operativos de Google SecOps SOAR.

Configurar registros de SOAR

Para configurar los registros de SOAR, sigue estos pasos:

  1. Crea una cuenta de servicio en el Google Cloud proyecto en el que quieras ver los registros. Para obtener más información, consulta el artículo sobre cómo crear y gestionar cuentas de servicio.
  2. Ve a IAM y administración > IAM.

  3. Busca la cuenta de servicio que has creado y haz clic en editar Editar principal.

    Ir a IAM

  4. En la sección Asignar roles, selecciona Escritor de registros. Para obtener más información, consulta el rol predefinido Escritor de registros.

  5. Haz clic en Guardar.

  6. Selecciona Cuentas de servicio y, a continuación, la cuenta que has creado.

  7. Haz clic en more_vert Más y selecciona Gestionar permisos.

  8. En la sección Permisos, haz clic en Conceder acceso.

    Concede acceso en la sección Permisos.

  9. En la sección Add Principal (Añadir principal), añade el siguiente principal:

    gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

  10. En Asignar roles, selecciona Creador de tokens de cuenta de servicio. Para obtener más información, consulta el artículo Creador de tokens de cuenta de servicio.

  11. Haz clic en Guardar.

  12. Proporciona el nombre de la cuenta de servicio configurada al equipo de Asistencia de Google SecOps.

Registros de SOAR

Los registros de SOAR se escriben en un espacio de nombres independiente llamado chronicle-soar y se clasifican por el servicio que generó el registro. Como los registros se generan mediante una tarea en segundo plano, primero debe configurar esta tarea para que envíe los registros a Google Cloud:

Para acceder a los registros de SOAR, sigue estos pasos:

  1. En la Google Cloud consola, ve a Logging > Explorador de registros.
  2. Selecciona el proyecto Google SecOps Google Cloud.

  3. Introduce el siguiente filtro en el cuadro y haz clic en Ejecutar consulta:

    resource.labels.namespace_name="chronicle-soar"

    Proporciona texto relevante sobre la imagen.

  4. Para filtrar los registros de un servicio específico, introduce la siguiente sintaxis en el cuadro de consulta y haz clic en Ejecutar consulta:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

  5. Sustituye <container_name> por el contenedor de servicio correspondiente: playbook, python o etl.

Etiquetas de registro de guía

Las etiquetas de registro de Playbook ofrecen una forma más eficiente y cómoda de acotar una consulta. Todas las etiquetas se encuentran en la sección Labels de cada mensaje de registro.

Registra etiquetas en los mensajes.

Para acotar el ámbito del registro, amplía el mensaje de registro, haz clic con el botón derecho en cada etiqueta y oculta o muestra registros específicos:

Proporciona texto relevante sobre la imagen.

Puede usar las siguientes etiquetas:

  • playbook_name
  • playbook_definition
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Registros de Python

Los siguientes registros están disponibles para el servicio de Python:

```none
resource.labels.container_name="python"
```

Etiquetas de integración y de conector:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Etiquetas de tareas:

  • integration_name
  • integration_version
  • job_name

Etiquetas de acción:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Registros de ETL

Los siguientes registros están disponibles para el servicio ETL:

```none
resource.labels.container_name="etl"
```

Etiquetas de ETL

  • correlation_id

Por ejemplo, para proporcionar el flujo de ingestión de una alerta, filtre por correlation_id:

Filtro de registros de ingestión de ETL.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.