Se usó la API de Cloud Translation para traducir esta página.

Supervisión de hosts silenciosos

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explican los métodos por los que la supervisión silenciosa de hosts (SHM) de Google Security Operations te permite identificar los hosts de tu entorno que se han silenciado.

Un host silencioso puede indicar posibles detenciones del recolector.

Usa Google Cloud Monitoring con etiquetas de transferencia para el SHM

Este método usa Google Cloud Monitoring para supervisar las tasas de transferencia de registros según las etiquetas de transferencia para el SHM.

En esta sección, se describe cómo configurar este método con Bindplane, lo que incluye los siguientes pasos:

Configura BindPlane para SHM con Google Cloud Monitoring
Configura el umbral de Google Cloud Monitoring para el SHM

Después de configurar una canalización de registros que aplique etiquetas de transferencia para el SHM, puedes configurar alertas de Google Cloud Monitoring por recopilador para cuando la tasa de transferencia caiga por debajo de un umbral especificado. Puedes configurar las alertas para que se envíen a varios lugares fuera de Google SecOps y, luego, integrarlas en un flujo de trabajo.

Beneficios de este método:

Supervisa el tiempo de transferencia, no el tiempo del evento.
Aprovecha las capacidades avanzadas de alertas de Cloud Monitoring.

Desventajas de este método:

Requiere una configuración independiente fuera de Google SecOps.
Está limitado por la cantidad de etiquetas de transferencia.

Configura BindPlane para SHM con Google Cloud Monitoring

A continuación, se indican los requisitos previos para configurar BindPlane para SHM con Google Cloud Monitoring:

Un servidor de BindPlane implementado y configurado con un procesador de estandarización de Google SecOps.
El procesador de estandarización de Google SecOps está configurado para agregar un log_type compatible y una etiqueta de transferencia (por ejemplo, ingestion_source).

Para configurar Bindplane para SHM con Google Cloud Monitoring, completa los siguientes pasos:

Envía el nombre de host del servidor recopilador como un atributo en cada entrada de registro.
En la pestaña Registro, selecciona Procesadores > Agregar procesadores > Copiar campo.
Configura el procesador Copy Field de la siguiente manera:
- Ingresa una descripción breve del recurso.
- Elige el tipo de telemetría Logs.
- Configura el campo Copy From como Resources.
- Configura el campo Resource field como host.name.
- Configura el campo Copy To field como Attributes.
- Establece el campo Attributes Field, por ejemplo, en chronicle_ingestion_label["ingestion_source"].

Configura el umbral de Google Cloud Monitoring para el SHM

Define un umbral en función de la tasa de transferencia esperada. Los umbrales más bajos detectan interrupciones del recopilador, mientras que los más altos detectan brechas en los registros ascendentes.

Después de configurar el umbral de Google Cloud Monitoring para el SHM, te recomendamos que supervises la métrica Total Ingestion Log Count de Chronicle Collector > Ingestion >. Para obtener instrucciones detalladas sobre la configuración de muestras, consulta Cómo configurar una política de muestra para detectar agentes de recopilación silenciosos de Google SecOps.

Usa un panel de Google SecOps para el SHM

Usa un panel de SecOps de Google para ver los recuentos diarios de los hosts de supervisión que dejaron de enviar datos.

Este método es ideal para obtener resúmenes diarios de alto nivel, pero no admite alertas y los resultados tienen una latencia de hasta 6 horas.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.