Google SecOps SOAR ログを収集する

以下でサポートされています。

Google Security Operations SOAR ログは、Google Cloud ログ エクスプローラで管理およびモニタリングできます。 Google Cloud ツールを使用して、SOAR オペレーション ログの特定のイベントによってトリガーされる特別な指標とアラートを設定することもできます。

ログには、SOAR の ETL、プレイブック、Python 関数から重要なデータがキャプチャされます。キャプチャされるデータの種類には、Python スクリプトの実行、アラートの取り込み、プレイブックのパフォーマンスなどがあります。

Google SecOps SOAR ログにアクセスする

Google SecOps SOAR ログは、chronicle-soar という別の Namespace に書き込まれ、ログを生成したサービス別に分類されます。

Google SecOps SOAR ログにアクセスする手順は次のとおりです。

  1. Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] に移動します。
  2. Google SecOps Google Cloud プロジェクトを選択します。

  3. フィールドに次のフィルタを入力し、[クエリを実行] をクリックします。

    resource.labels.namespace_name="chronicle-soar"

    画像に関連するテキストをここに記載します。

  4. 特定のサービスのログをフィルタリングするには、次のフィルタをボックスに入力して [クエリを実行] をクリックします。

        resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>"

    値には playbookpython、または etl が含まれます。

ハンドブックのラベル

プレイブック ログラベルを使用すると、クエリの範囲をより効率的かつ簡単に絞り込むことができます。すべてのラベルは、各ログメッセージのラベル セクションにあります。

メッセージ内のラベルをログに記録します。

ログスコープを絞り込むには、ログメッセージを展開し、各ラベルを右クリックして、特定のログを表示または非表示にします。

画像に関連するテキストをここに記載します。

次のラベルを使用できます。

  • playbook_definition
  • playbook_name
  • block_name
  • block_definition
  • case_id
  • correlation_id
  • integration_name
  • action_name

Python ログ

python サービスでは、次のログを使用できます。

resource.labels.container_name="python"

インテグレーションとコネクタのラベル:

  • integration_name
  • integration_version
  • connector_name
  • connector_instance

ジョブラベル:

  • integration_name
  • integration_version
  • job_name

アクション ラベル:

  • integration_name
  • integration_version
  • integration_instance
  • correlation_id
  • action_name

ETL ログ

ETL サービスでは、次のログを使用できます。

resource.labels.container_name="etl"

ETL ラベル:

  • correlation_id

たとえば、アラートの取り込みフローを指定するには、correlation_id でフィルタします。

ETL 取り込みログフィルタ。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。