收集 SOAR 記錄
本文說明如何使用 Google Cloud 記錄檔總管管理及監控 SOAR 記錄。
這項整合功能提供下列主要功能:
集中監控:查看及分析從 Google SecOps SOAR 平台的 ETL、劇本和 Python 函式擷取的重要資料 (例如 Python 指令碼執行、快訊擷取和劇本效能)。
自訂指標和快訊:使用 Google Cloud 工具,根據 Google SecOps SOAR 作業記錄中記錄的特定事件,設定自訂指標和快訊。
設定 SOAR 記錄
如要設定 SOAR 記錄,請按照下列步驟操作:
- 在您打算查看記錄的 Google Cloud 專案中建立服務帳戶。詳情請參閱「建立及管理服務帳戶」。
- 依序前往「IAM 與管理」>「IAM」。
找出您建立的服務帳戶,然後依序點選「編輯」 「編輯主體」。
在「指派角色」部分中,選取「記錄寫入者」。詳情請參閱預先定義的 Logs Writer 角色。
按一下 [儲存]。
選取「服務帳戶」,然後選取您建立的服務帳戶。
依序按一下 more_vert 「更多」和「管理權限」。
在「權限」部分中,按一下「授予存取權」。
在「新增主體」部分,新增下列主體:
gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com
- 如果您不知道
SOAR_GCP_Project_Id
,請透過 Google 支援提交支援票證。
- 如果您不知道
在「指派角色」中,選取「服務帳戶憑證建立者」。詳情請參閱「服務帳戶憑證建立者」。
按一下 [儲存]。
將設定的服務帳戶名稱提供給 Google SecOps 支援團隊。
SOAR 記錄
SOAR 記錄會寫入名為 chronicle-soar
的獨立命名空間,並依產生記錄的服務分類。由於記錄是由背景工作產生,因此您必須先設定這項工作,才能將記錄傳送至 Google Cloud:
如要存取 SOAR 記錄,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「Logging」>「Logs Explorer」。
- 選取 Google SecOps Google Cloud 專案。
在方塊中輸入下列篩選條件,然後點選「執行查詢」:
resource.labels.namespace_name="chronicle-soar"
如要篩選特定服務的記錄,請在查詢方塊中輸入下列語法,然後按一下「執行查詢」:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"
將
<container_name>
替換為相關服務容器:playbook
、python
或etl
。
應對手冊記錄標籤
劇本記錄標籤提供更有效率且便利的方式,可縮小查詢範圍。所有標籤都位於各記錄訊息的 Labels
區段。
如要縮小記錄範圍,請展開記錄訊息,在每個標籤上按一下滑鼠右鍵,然後隱藏或顯示特定記錄:
可用的標籤如下:
playbook_name
playbook_definition
block_name
block_definition
case_id
correlation_id
integration_name
action_name
Python 記錄
Python 服務可用的記錄如下:
```none
resource.labels.container_name="python"
```
整合和連結器標籤:
integration_name
integration_version
connector_name
connector_instance
工作標籤:
integration_name
integration_version
job_name
動作標籤:
integration_name
integration_version
integration_instance
correlation_id
action_name
ETL 記錄
ETL 服務提供下列記錄:
```none
resource.labels.container_name="etl"
```
ETL 標籤
correlation_id
舉例來說,如要提供快訊的擷取流程,請依 correlation_id
篩選:
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。