收集 SOAR 記錄

支援的國家/地區:

本文說明如何使用 Google Cloud 記錄檔總管管理及監控 SOAR 記錄。

這項整合功能提供下列主要功能:

  • 集中監控:查看及分析從 Google SecOps SOAR 平台的 ETL、劇本和 Python 函式擷取的重要資料 (例如 Python 指令碼執行、快訊擷取和劇本效能)。

  • 自訂指標和快訊:使用 Google Cloud 工具,根據 Google SecOps SOAR 作業記錄中記錄的特定事件,設定自訂指標和快訊。

設定 SOAR 記錄

如要設定 SOAR 記錄,請按照下列步驟操作:

  1. 在您打算查看記錄的 Google Cloud 專案中建立服務帳戶。詳情請參閱「建立及管理服務帳戶」。
  2. 依序前往「IAM 與管理」>「IAM」
  3. 找出您建立的服務帳戶,然後依序點選「編輯」 「編輯主體」。

    前往「IAM」(身分與存取權管理) 頁面

  4. 在「指派角色」部分中,選取「記錄寫入者」。詳情請參閱預先定義的 Logs Writer 角色

  5. 按一下 [儲存]

  6. 選取「服務帳戶」,然後選取您建立的服務帳戶。

  7. 依序按一下 more_vert 「更多」和「管理權限」

  8. 在「權限」部分中,按一下「授予存取權」

    在「權限」部分授予存取權。

  9. 在「新增主體」部分,新增下列主體:

    gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com

    • 如果您不知道 SOAR_GCP_Project_Id,請透過 Google 支援提交支援票證。
  10. 在「指派角色」中,選取「服務帳戶憑證建立者」。詳情請參閱「服務帳戶憑證建立者」。

  11. 按一下 [儲存]

  12. 將設定的服務帳戶名稱提供給 Google SecOps 支援團隊。

SOAR 記錄

SOAR 記錄會寫入名為 chronicle-soar 的獨立命名空間,並依產生記錄的服務分類。由於記錄是由背景工作產生,因此您必須先設定這項工作,才能將記錄傳送至 Google Cloud:

如要存取 SOAR 記錄,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Logging」>「Logs Explorer」。
  2. 選取 Google SecOps Google Cloud 專案。
  3. 在方塊中輸入下列篩選條件,然後點選「執行查詢」

    resource.labels.namespace_name="chronicle-soar"
    

    請在這裡提供圖片的相關文字。

  4. 如要篩選特定服務的記錄,請在查詢方塊中輸入下列語法,然後按一下「執行查詢」

        resource.labels.namespace_name="chronicle-soar" 
        resource.labels.container_name="<container_name>" 
    
  5. <container_name> 替換為相關服務容器:playbookpythonetl

應對手冊記錄標籤

劇本記錄標籤提供更有效率且便利的方式,可縮小查詢範圍。所有標籤都位於各記錄訊息的 Labels 區段。

在訊息中記錄標籤。

如要縮小記錄範圍,請展開記錄訊息,在每個標籤上按一下滑鼠右鍵,然後隱藏或顯示特定記錄:

請在這裡提供圖片的相關文字。

可用的標籤如下:

  • playbook_name
  • playbook_definition
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python 記錄

Python 服務可用的記錄如下:

```none
resource.labels.container_name="python"
```

整合和連結器標籤:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

工作標籤:

  • integration_name
  • integration_version
  • job_name

動作標籤:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL 記錄

ETL 服務提供下列記錄:

```none
resource.labels.container_name="etl"
```

ETL 標籤

  • correlation_id

舉例來說,如要提供快訊的擷取流程,請依 correlation_id 篩選:

ETL 擷取記錄篩選器。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。