Monitoring von stummen Hosts

In diesem Dokument wird beschrieben, wie Sie mit dem Silent-Host-Monitoring (SHM) von Google Security Operations Hosts in Ihrer Umgebung identifizieren können, die nicht mehr aktiv sind.

Ein stiller Host kann potenzielle Unterbrechungen der Datenerhebung signalisieren.

Google Cloud Monitoring mit Ingestion-Labels für SHM verwenden

Bei dieser Methode wird Google Cloud Monitoring verwendet, um die Raten für die Aufnahme von Logs basierend auf Aufnahme-Labels für SHM zu überwachen.

In diesem Abschnitt wird beschrieben, wie Sie diese Methode mit Bindplane einrichten. Dazu sind die folgenden Schritte erforderlich:

1. BindPlane für SHM mit Google Cloud Monitoring konfigurieren
2. Google Cloud Monitoring-Schwellenwert für SHM konfigurieren

Nachdem Sie eine Logpipeline eingerichtet haben, in der Ingestion-Labels für SHM angewendet werden, können Sie Google Cloud Monitoring-Benachrichtigungen pro Collector einrichten, wenn die Ingestion-Rate unter einen bestimmten Grenzwert fällt. Sie können die Benachrichtigungen so konfigurieren, dass sie an verschiedene Orte außerhalb von Google SecOps gesendet werden, und sie in einen Workflow einbinden.

Vorteile dieser Methode:

• Es wird die Erfassungszeit und nicht die Ereigniszeit überwacht.
• Nutzt die erweiterten Benachrichtigungsfunktionen von Cloud Monitoring.

Nachteile dieser Methode:

• Erfordert eine separate Konfiguration außerhalb von Google SecOps.
• Begrenzt durch die Anzahl der Aufnahme-Labels.

BindPlane für SHM mit Google Cloud Monitoring konfigurieren

Die Voraussetzungen für die Konfiguration von Bindplane für SHM mit Google Cloud Monitoring sind wie folgt:

• Ein bereitgestellter Bindplane-Server, der mit einem Google SecOps Standardization-Prozessor konfiguriert ist.
• Der Google SecOps Standardization-Prozessor ist so konfiguriert, dass er ein unterstütztes log_type und ein Aufnahmelabel (z. B. ingestion_source) hinzufügt.

Führen Sie die folgenden Schritte aus, um Bindplane für SHM mit Google Cloud Monitoring zu konfigurieren:

1. Senden Sie den Hostnamen des Collector-Servers als Attribut in jedem Logeintrag.
2. Wählen Sie auf dem Tab Log die Optionen Processors > Add Processors > Copy Field aus.
3. Konfigurieren Sie den Prozessor Feld kopieren:
   • Geben Sie eine kurze Beschreibung für die Ressource ein.
   • Wählen Sie den Telemetrietyp Logs aus.
   • Setzen Sie das Feld Copy From auf Resources.
   • Setzen Sie das Feld Resource field auf host.name.
   • Setzen Sie das Feld Copy To field auf Attributes.
   • Setzen Sie das Feld Attributes Field beispielsweise auf chronicle_ingestion_label["ingestion_source"].

Google Cloud Monitoring-Schwellenwert für SHM konfigurieren

Legen Sie einen Grenzwert auf Grundlage der erwarteten Aufnahmerate fest. Bei niedrigeren Schwellenwerten werden Collector-Ausfälle erkannt, bei höheren Schwellenwerten werden Lücken in Upstream-Logs erkannt.

Nachdem Sie den Google Cloud Monitoring-Schwellenwert für SHM konfiguriert haben, empfehlen wir, den Messwert Chronicle Collector > Ingestion > Total Ingestion Log Count (Gesamtzahl der Ingestion-Logs) zu beobachten. Eine detaillierte Anleitung zum Einrichten eines Beispiels finden Sie unter Beispielrichtlinie zum Erkennen von Google SecOps-Erfassungs-Agents im Hintergrund einrichten.

Google SecOps-Dashboard für SHM verwenden

Mit einem Google SecOps-Dashboard können Sie die täglichen Anzahlwerte für Monitoring-Hosts aufrufen, die nicht mehr reagieren.

Diese Methode eignet sich gut für tägliche Übersichten, unterstützt aber keine Benachrichtigungen und die Ergebnisse haben eine Latenz von bis zu 6 Stunden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten