Configurar Bindplane para la monitorización silenciosa de hosts

Disponible en:

La monitorización silenciosa de hosts de Google Security Operations te permite crear alertas para los cambios en la tasa de ingestión mediante Google Cloud Monitoring. Genera alertas por recopilador y te avisa cuando la tasa de ingestión está por debajo del umbral definido, lo que indica posibles interrupciones del recopilador. Esta función funciona con la API gRPC.

Requisitos previos

En esta guía se da por hecho que ya usas un procesador de estandarización de Google SecOps.

Configurar Bindplane para la monitorización silenciosa de hosts

Para habilitar Bindplane para la monitorización silenciosa de hosts, envía el nombre de host del servidor del recopilador como atributo en la entrada de registro.

  1. En la pestaña Registro, selecciona Procesadores > Añadir procesadores > Copiar campo.
  2. Configura el procesador Copiar campo:
    • Introduce una breve descripción del recurso.
    • Elige el tipo de telemetría Logs.
    • Asigna el valor Resources al campo Copy From.
    • Asigna el valor host.name al campo Resource field.
    • Asigna el valor Attributes al campo Copy To field.
    • Asigna el valor chronicle_ingestion_label["ingestion_source"] al campo Attributes Field.

Umbral de Google Cloud Monitoring

Define el umbral según tus necesidades:

  • Un umbral muy bajo te avisa cuando el recopilador puede estar inactivo.
  • Un umbral muy alto indica posibles problemas de recogida de la fuente.

Te recomendamos que monitorices la métrica Chronicle Collector > Ingestion > Total Ingestion Log Count (Recuento total de registros de ingestión).

Para obtener instrucciones de configuración detalladas, consulta Configurar una política de ejemplo para detectar reenviadores de Google SecOps silenciosos.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.