Collecter les journaux SOAR

Compatible avec :

Ce document explique comment utiliser l'explorateur de journaux Google Cloud pour gérer et surveiller les journaux SOAR.

L'intégration offre les principales fonctionnalités suivantes :

  • Surveillance centralisée : affichez et analysez les données essentielles capturées à partir des fonctions ETL, Playbook et Python de la plate-forme Google SecOps SOAR (par exemple, l'exécution de scripts Python, l'ingestion d'alertes et les performances des playbooks).

  • Métriques et alertes personnalisées : utilisez les outils Google Cloud pour configurer des métriques et des alertes personnalisées en fonction d'événements spécifiques enregistrés dans les journaux opérationnels Google SecOps SOAR.

Configurer les journaux SOAR

Pour configurer les journaux SOAR, procédez comme suit :

  1. Créez un compte de service dans le projet Google Cloud où vous prévoyez d'afficher les journaux. Pour en savoir plus, consultez Créer et gérer des comptes de service.
  2. Accédez à IAM et administration > IAM.

  3. Recherchez le compte de service que vous avez créé, puis cliquez sur Modifier Modifier le compte principal.

    Accéder à IAM

  4. Dans la section Attribuer des rôles, sélectionnez Rédacteur de journaux. Pour en savoir plus, consultez la section Rôle prédéfini "Auteur de journaux".

  5. Cliquez sur Enregistrer.

  6. Sélectionnez Comptes de service, puis sélectionnez le compte de service que vous avez créé.

  7. Cliquez sur more_vert Plus, puis sélectionnez Gérer les autorisations.

  8. Dans la section Autorisations, cliquez sur Accorder l'accès.

    Accorder l'accès dans la section "Autorisations".

  9. Dans la section Ajouter un compte principal, ajoutez le compte principal suivant :

    gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

    • Si vous ne connaissez pas le SOAR_GCP_Project_Id, envoyez une demande via l'assistance Google.

  10. Dans Attribuer des rôles, sélectionnez Créateur de jetons du compte de service. Pour en savoir plus, consultez Créateur de jetons de compte de service.

  11. Cliquez sur Enregistrer.

  12. Indiquez le nom du compte de service configuré à l'équipe d'assistance Google SecOps.

Journaux SOAR

Les journaux SOAR sont écrits dans un espace de noms distinct, appelé chronicle-soar, et sont classés par service ayant généré le journal. Étant donné que les journaux sont générés par un job en arrière-plan, vous devez d'abord configurer ce job pour envoyer les journaux à Google Cloud :

Pour accéder aux journaux SOAR :

  1. Dans la console Google Cloud , accédez à Logging > Explorateur de journaux.
  2. Sélectionnez le projet Google SecOps Google Cloud.

  3. Saisissez le filtre suivant dans la zone, puis cliquez sur Exécuter la requête :

    resource.labels.namespace_name="chronicle-soar"

    Saisissez ici le texte pertinent concernant l'image.

  4. Pour filtrer les journaux d'un service spécifique, saisissez la syntaxe suivante dans la zone de requête, puis cliquez sur Exécuter la requête :

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

  5. Remplacez <container_name> par le conteneur de service concerné : playbook, python ou etl.

Libellés de journaux de playbook

Les libellés de journaux de playbooks permettent d'affiner plus efficacement et plus facilement le champ d'application d'une requête. Toutes les étiquettes se trouvent dans la section Labels de chaque message de journal.

Libellés de journaux dans les messages.

Pour affiner le champ d'application du journal, développez le message du journal, effectuez un clic droit sur chaque libellé, puis masquez ou affichez des journaux spécifiques :

Saisissez ici le texte pertinent concernant l&#39;image.

Les libellés suivants sont disponibles :

  • playbook_name
  • playbook_definition
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Journaux Python

Les journaux suivants sont disponibles pour le service Python :

```none
resource.labels.container_name="python"
```

Libellés d'intégration et de connecteur :

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Libellés de jobs :

  • integration_name
  • integration_version
  • job_name

Libellés d'action :

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Journaux ETL

Les journaux suivants sont disponibles pour le service ETL :

```none
resource.labels.container_name="etl"
```

Libellés ETL

  • correlation_id

Par exemple, pour fournir le flux d'ingestion d'une alerte, filtrez par correlation_id :

Filtre des journaux d&#39;ingestion ETL.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.