무음 호스트 모니터링

다음에서 지원:

이 문서에서는 Google Security Operations 무음 호스트 모니터링 (SHM)을 통해 환경에서 무음 상태가 된 호스트를 식별하는 방법을 설명합니다.

무음 호스트는 잠재적인 수집기 중지를 알릴 수 있습니다.

SHM의 수집 라벨과 함께 Google Cloud Monitoring 사용

이 방법은 Google Cloud Monitoring을 사용하여 SHM의 수집 라벨을 기반으로 로그 수집 비율을 모니터링합니다.

이 섹션에서는 다음 단계를 포함하는 Bindplane을 사용하여 이 방법을 설정하는 방법을 설명합니다.

  1. Google Cloud Monitoring으로 SHM용 Bindplane 구성
  2. SHM의 Google Cloud Monitoring 임계값 구성

SHM의 수집 라벨을 적용하는 로그 파이프라인을 설정한 후 수집 속도가 지정된 기준점 미만으로 떨어지는 경우에 대비하여 수집기별로 Google Cloud Monitoring 알림을 설정할 수 있습니다. Google SecOps 외부의 다양한 위치로 알림을 전송하도록 구성하고 알림을 워크플로에 통합할 수 있습니다.

이 방법의 이점은 다음과 같습니다.

  • 이벤트 시간이 아닌 수집 시간을 모니터링합니다.
  • Cloud Monitoring의 고급 알림 기능을 활용합니다.

이 방법의 단점은 다음과 같습니다.

  • Google SecOps 외부에서 별도의 구성이 필요합니다.
  • 수집 라벨 수에 따라 제한됩니다.

Google Cloud Monitoring으로 SHM용 Bindplane 구성

Google Cloud Monitoring으로 SHM용 Bindplane을 구성하기 위한 기본 요건은 다음과 같습니다.

Google Cloud Monitoring을 사용하여 SHM용 Bindplane을 구성하려면 다음 단계를 완료하세요.

  1. 수집기 서버의 호스트 이름을 각 로그 항목의 속성으로 전송합니다.
  2. 로그 탭에서 프로세서 > 프로세서 추가 > 필드 복사를 선택합니다.
  3. 필드 복사 프로세서를 구성합니다.
    • 리소스에 대한 간단한 설명을 입력합니다.
    • Logs 원격 분석 유형을 선택합니다.
    • Copy From 필드를 Resources로 설정합니다.
    • Resource field 필드를 host.name로 설정합니다.
    • Copy To field 필드를 Attributes로 설정합니다.
    • Attributes Field 필드를 chronicle_ingestion_label["ingestion_source"]로 설정합니다.

SHM의 Google Cloud Monitoring 임계값 구성

예상 수집률을 기반으로 기준점을 정의합니다. 낮은 임계값은 수집기 서비스 중단을 감지하고 높은 임계값은 업스트림 로그 격차를 감지합니다.

SHM의 Google Cloud Monitoring 임계값을 구성한 후에는 Chronicle 수집기 > 수집 > 수집된 총 로그 수 측정항목을 모니터링하는 것이 좋습니다. 자세한 샘플 설정 안내는 조용한 Google SecOps 수집 에이전트를 감지하도록 샘플 정책 설정을 참고하세요.

SHM에 Google SecOps 대시보드 사용

Google SecOps 대시보드를 사용하여 무음 상태가 된 모니터링 호스트의 일일 수를 확인합니다.

이 방법은 일일 개요를 확인하는 데 유용하지만 알림을 지원하지 않으며 결과에 최대 6시간의 지연 시간이 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.