Mengumpulkan log SOAR

Didukung di:

Dokumen ini menjelaskan cara menggunakan Google Cloud Logs Explorer untuk mengelola dan memantau log SOAR.

Integrasi ini menyediakan kemampuan utama berikut:

  • Pemantauan terpusat: Lihat dan analisis data penting yang diambil dari fungsi ETL, Playbook, dan Python platform SOAR Google SecOps (misalnya, eksekusi skrip Python, penyerapan pemberitahuan, dan performa playbook).

  • Metrik dan pemberitahuan kustom: Gunakan alat Google Cloud untuk mengonfigurasi metrik dan pemberitahuan kustom berdasarkan peristiwa tertentu yang dicatat dalam log operasional Google SecOps SOAR.

Menyiapkan log SOAR

Untuk menyiapkan log SOAR, ikuti langkah-langkah berikut:

  1. Buat Akun Layanan di project Google Cloud tempat Anda berencana melihat log. Untuk mengetahui detailnya, lihat Membuat dan mengelola akun layanan.
  2. Buka IAM & Admin > IAM.

  3. Temukan Akun Layanan yang Anda buat, lalu klik edit Edit principal.

    Buka IAM

  4. Di bagian Assign Roles, pilih Logs Writer. Untuk mengetahui informasi selengkapnya, lihat peran Penulis Log standar.

  5. Klik Simpan.

  6. Pilih Akun Layanan, lalu pilih akun layanan yang Anda buat.

  7. Klik more_vert Lainnya, lalu pilih Kelola Izin.

  8. Di bagian Izin, klik Beri Akses.

    Berikan akses di bagian Izin.

  9. Di bagian Add Principal, tambahkan akun utama berikut:

    gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

    • Jika Anda tidak mengetahui SOAR_GCP_Project_Id, kirim tiket melalui Dukungan Google.

  10. Di Tetapkan Peran, pilih Service Account Token Creator. Untuk mengetahui informasi selengkapnya, lihat Pembuat Token Akun Layanan.

  11. Klik Simpan.

  12. Berikan nama Akun Layanan yang dikonfigurasi kepada tim dukungan Google SecOps.

Log SOAR

Log SOAR ditulis dalam namespace terpisah, yang disebut chronicle-soar, dan dikategorikan berdasarkan layanan yang menghasilkan log. Karena log dibuat oleh tugas latar belakang, Anda harus mengonfigurasi tugas ini terlebih dahulu untuk mengirim log ke Google Cloud:

Untuk mengakses log SOAR, lakukan hal berikut:

  1. Di konsol Google Cloud , buka Logging > Logs Explorer.
  2. Pilih project Google SecOps Google Cloud.

  3. Masukkan filter berikut di kotak, lalu klik Run Query:

    resource.labels.namespace_name="chronicle-soar"

    Berikan teks yang relevan tentang gambar di sini.

  4. Untuk memfilter log dari layanan tertentu, masukkan sintaksis berikut di kotak kueri, lalu klik Run Query:

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

  5. Ganti <container_name> dengan container layanan yang relevan: playbook, python, atau etl.

Label log playbook

Label log playbook memberikan cara yang lebih efisien dan mudah untuk mempersempit cakupan kueri. Semua label berada di bagian Labels dari setiap pesan log.

Mencatat label dalam pesan.

Untuk mempersempit cakupan log, luaskan pesan log, klik kanan setiap label, lalu sembunyikan atau tampilkan log tertentu:

Berikan teks yang relevan tentang gambar di sini.

Label berikut tersedia:

  • playbook_name
  • playbook_definition
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Log Python

Log berikut tersedia untuk layanan Python:

```none
resource.labels.container_name="python"
```

Label integrasi dan konektor:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

Label tugas:

  • integration_name
  • integration_version
  • job_name

Label tindakan:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

Log ETL

Log berikut tersedia untuk layanan ETL:

```none
resource.labels.container_name="etl"
```

Label ETL

  • correlation_id

Misalnya, untuk menyediakan alur penyerapan pemberitahuan, filter menurut correlation_id:

Filter log penyerapan ETL.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.