Recolha registos SOAR
Este documento descreve como usar o Google Cloud Explorador de registos para gerir e monitorizar registos SOAR.
A integração oferece as seguintes capacidades principais:
Monitorização centralizada: veja e analise os dados essenciais capturados das funções ETL, de livro de regras e Python da plataforma SOAR do Google SecOps (por exemplo, execução de scripts Python, carregamento de alertas e desempenho do livro de regras).
Métricas personalizadas e alertas: use Google Cloud ferramentas para configurar métricas personalizadas e alertas com base em eventos específicos registados nos registos operacionais do SOAR do Google SecOps.
Configure registos SOAR
Para configurar os registos SOAR, siga estes passos:
- Crie uma conta de serviço no Google Cloud projeto onde planeia ver os registos. Para ver detalhes, consulte o artigo Crie e faça a gestão de contas de serviço.
- Aceda a IAM e administrador > IAM.
Localize a conta de serviço que criou e clique em editar Editar principal.
Na secção Atribuir funções, selecione Escritor de registos. Para mais informações, consulte o papel Logs Writer predefinido.
Clique em Guardar.
Selecione Contas de serviço e selecione a conta de serviço criada.
Clique em more_vert Mais e selecione Gerir autorizações.
Na secção Autorizações, clique em Conceder acesso.
Na secção Adicionar principal, adicione o seguinte principal:
gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com- Se não souber o
SOAR_GCP_Project_Id, envie um pedido através do apoio técnico da Google.
- Se não souber o
Em Atribuir funções, selecione Criador de tokens de contas de serviço. Para mais informações, consulte o artigo Criador de tokens de contas de serviço.
Clique em Guardar.
Indique o nome da conta de serviço configurada à equipa de apoio técnico do Google SecOps.
Registos de SOAR
Os registos SOAR são escritos num espaço de nomes separado, denominado chronicle-soar, e são categorizados pelo serviço que gerou o registo.
Uma vez que os registos são gerados por uma tarefa em segundo plano, tem de configurar primeiro esta tarefa para enviar os registos para o Google Cloud:
Para aceder aos registos SOAR, faça o seguinte:
- Na Google Cloud consola, aceda a Registo > Explorador de registos.
- Selecione o projeto do Google SecOps Google Cloud.
Introduza o seguinte filtro na caixa e clique em Executar consulta:
resource.labels.namespace_name="chronicle-soar"
Para filtrar registos de um serviço específico, introduza a seguinte sintaxe na caixa de consulta e clique em Executar consulta:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"Substitua
<container_name>pelo contentor de serviços relevante:playbook,pythonouetl.
Etiquetas de registo do guia interativo
As etiquetas de registo do Playbook oferecem uma forma mais eficiente e conveniente de refinar o âmbito de uma consulta. Todas as etiquetas estão localizadas na secção Labels de cada mensagem de registo.
Para restringir o âmbito do registo, expanda a mensagem de registo, clique com o botão direito do rato em cada etiqueta e oculte ou mostre registos específicos:
Estão disponíveis as seguintes etiquetas:
playbook_nameplaybook_definitionblock_nameblock_definitioncase_idcorrelation_idintegration_nameaction_name
Registos Python
Os seguintes registos estão disponíveis para o serviço Python:
```none
resource.labels.container_name="python"
```
Etiquetas de integração e conetor:
integration_nameintegration_versionconnector_nameconnector_instance
Etiquetas de tarefas:
integration_nameintegration_versionjob_name
Etiquetas de ações:
integration_nameintegration_versionintegration_instancecorrelation_idaction_name
Registos de ETL
Os seguintes registos estão disponíveis para o serviço ETL:
```none
resource.labels.container_name="etl"
```
Etiquetas de ETL
correlation_id
Por exemplo, para fornecer o fluxo de carregamento de um alerta, filtre por
correlation_id:
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.