Esta página se ha traducido con Cloud Translation API.

Monitorización de hosts silenciosos

Disponible en:

SecOps de Google SIEM

En este documento se explican los métodos que usa la monitorización de hosts silenciosos (SHM) de Google Security Operations para identificar los hosts de tu entorno que se han quedado en silencio.

Un anfitrión silencioso puede indicar posibles interrupciones del recolector.

Usar Google Cloud Monitoring con etiquetas de ingestión para SHM

Este método usa Google Cloud Monitoring para monitorizar las tasas de ingestión de registros en función de las etiquetas de ingestión de SHM.

En esta sección se describe cómo configurar este método con Bindplane. Para ello, sigue estos pasos:

Configurar Bindplane para SHM con Google Cloud Monitoring
Configurar el umbral de Google Cloud Monitoring para SHM

Después de configurar una canalización de registros que aplique etiquetas de ingestión para SHM, puede configurar alertas de Google Cloud Monitoring por recopilador para cuando la tasa de ingestión sea inferior a un umbral especificado. Puede configurar las alertas para que se envíen a varios lugares fuera de Google SecOps e integrarlas en un flujo de trabajo.

Ventajas de este método:

Monitoriza el tiempo de ingestión, no el tiempo del evento.
Aprovecha las funciones avanzadas de alertas de Cloud Monitoring.

Inconvenientes de este método:

Requiere una configuración independiente fuera de Google SecOps.
Limitado por el número de etiquetas de ingesta.

Configurar Bindplane para SHM con Google Cloud Monitoring

Estos son los requisitos previos para configurar Bindplane para SHM con Google Cloud Monitoring:

Un servidor Bindplane desplegado que esté configurado con un procesador de estandarización de Google SecOps .
El procesador de estandarización de Google SecOps está configurado para añadir un log_type compatible y una etiqueta de ingestión (por ejemplo, ingestion_source).

Para configurar Bindplane para SHM con Google Cloud Monitoring, sigue estos pasos:

Envía el nombre de host del servidor de recogida como un atributo en cada entrada de registro.
En la pestaña Registro, selecciona Procesadores > Añadir procesadores > Copiar campo.
Configura el procesador Copiar campo:
- Introduce una breve descripción del recurso.
- Elige el tipo de telemetría Logs.
- Asigna el valor Resources al campo Copy From.
- Asigna el valor host.name al campo Resource field.
- Asigna el valor Attributes al campo Copy To field.
- En el campo Attributes Field, introduzca un valor (por ejemplo, chronicle_ingestion_label["ingestion_source"]).

Configurar el umbral de Google Cloud Monitoring para SHM

Define un umbral en función de la tasa de ingestión esperada. Los umbrales más bajos detectan interrupciones del recopilador, mientras que los más altos detectan lagunas en los registros de la fuente.

Después de configurar el umbral de Google Cloud Monitoring para SHM, te recomendamos que monitorices la métrica Chronicle Collector > Ingestion > Total Ingestion Log Count (Recuento total de registros de ingesta). Para obtener instrucciones detalladas sobre cómo configurar un ejemplo, consulta Configurar una política de ejemplo para detectar agentes de recogida de datos de SecOps de Google silenciosos.

Usar un panel de control de Google SecOps para SHM

Usa un panel de control de Google SecOps para ver los recuentos diarios de los hosts de monitorización que han dejado de enviar datos.

Este método es ideal para obtener resúmenes diarios de alto nivel, pero no admite alertas y los resultados tienen una latencia de hasta 6 horas.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.