Coletar registros do SOAR
Neste documento, descrevemos como usar o Google Cloud Explorador de registros para gerenciar e monitorar registros do SOAR.
A integração oferece os seguintes recursos principais:
Monitoramento centralizado: veja e analise dados essenciais capturados das funções de ETL, playbook e Python da plataforma SOAR do Google SecOps (por exemplo, execução de scripts Python, ingestão de alertas e desempenho de playbooks).
Métricas e alertas personalizados: use as ferramentas Google Cloud para configurar métricas e alertas personalizados com base em eventos específicos registrados nos registros operacionais do SOAR do Google SecOps.
Configurar registros do SOAR
Para configurar os registros do SOAR, siga estas etapas:
- Crie uma conta de serviço no projeto Google Cloud em que você planeja ver os registros. Para mais detalhes, consulte Criar e gerenciar contas de serviço.
- Acesse IAM e administrador > IAM.
Localize a conta de serviço que você criou e clique em editar Editar principal.
Na seção Atribuir papéis, selecione Gravador de registros. Para mais informações, consulte o papel predefinido de gravador de registros.
Clique em Salvar.
Selecione Contas de serviço e escolha a conta de serviço criada.
Clique em more_vert Mais e selecione Gerenciar permissões.
Na seção Permissões, clique em Conceder acesso.
Na seção Adicionar principal, adicione o seguinte principal:
gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com- Se você não souber o
SOAR_GCP_Project_Id, envie um tíquete pelo Suporte do Google.
- Se você não souber o
Em Atribuir papéis, selecione Criador de token de conta de serviço. Para mais informações, consulte Criador de tokens de conta de serviço.
Clique em Salvar.
Informe o nome da conta de serviço configurada à equipe de suporte do Google SecOps.
Registros do SOAR
Os registros do SOAR são gravados em um namespace separado, chamado
chronicle-soar, e são categorizados pelo serviço que gerou o registro.
Como os registros são gerados por um job em segundo plano, primeiro configure esse job para enviar os registros a Google Cloud:
Para acessar os registros do SOAR, faça o seguinte:
- No console Google Cloud , acesse Logging > Explorador de registros.
- Selecione o projeto Google SecOps Google Cloud.
Insira o filtro a seguir na caixa e clique em Executar consulta:
resource.labels.namespace_name="chronicle-soar"
Para filtrar registros de um serviço específico, insira a seguinte sintaxe na caixa de consulta e clique em Executar consulta:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"Substitua
<container_name>pelo contêiner de serviço relevante:playbook,pythonouetl.
Rótulos de registros de playbook
Os rótulos de registros do playbook oferecem uma maneira mais eficiente e conveniente de refinar o escopo de uma consulta. Todos os rótulos estão localizados na seção Labels de cada mensagem de
registro.
Para restringir o escopo do registro, expanda a mensagem, clique com o botão direito do mouse em cada rótulo e oculte ou mostre registros específicos:
Os seguintes rótulos estão disponíveis:
playbook_nameplaybook_definitionblock_nameblock_definitioncase_idcorrelation_idintegration_nameaction_name
Registros do Python
Os seguintes registros estão disponíveis para o serviço Python:
```none
resource.labels.container_name="python"
```
Rótulos de integração e conector:
integration_nameintegration_versionconnector_nameconnector_instance
Rótulos do job:
integration_nameintegration_versionjob_name
Rótulos da ação:
integration_nameintegration_versionintegration_instancecorrelation_idaction_name
Registros de ETL
Os seguintes registros estão disponíveis para o serviço de ETL:
```none
resource.labels.container_name="etl"
```
Rótulos de ETL
correlation_id
Por exemplo, para fornecer o fluxo de ingestão de um alerta, filtre por
correlation_id:
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.