Surveillance des hôtes silencieux

Ce document explique comment la surveillance silencieuse des hôtes (SHM) de Google Security Operations vous permet d'identifier les hôtes de votre environnement qui sont devenus silencieux.

Un hôte silencieux peut signaler des arrêts potentiels du collecteur.

Utiliser Google Cloud Monitoring avec des libellés d'ingestion pour SHM

Cette méthode utilise Google Cloud Monitoring pour surveiller les taux d'ingestion des journaux en fonction des libellés d'ingestion pour SHM.

Cette section explique comment configurer cette méthode à l'aide de Bindplane, qui comprend les étapes suivantes :

1. Configurer Bindplane pour SHM avec Google Cloud Monitoring
2. Configurer le seuil Google Cloud Monitoring pour SHM

Une fois que vous avez configuré un pipeline de journaux qui applique des libellés d'ingestion pour SHM, vous pouvez configurer des alertes Google Cloud Monitoring par collecteur, lorsque le taux d'ingestion est inférieur à un seuil spécifié. Vous pouvez configurer les alertes pour qu'elles soient envoyées à différents endroits en dehors de Google SecOps et les intégrer à un workflow.

Avantages de cette méthode :

• Surveille le temps d'ingestion, et non le temps de l'événement.
• Exploite les fonctionnalités d'alerte avancées de Cloud Monitoring.

Inconvénients de cette méthode :

• Nécessite une configuration distincte en dehors de Google SecOps.
• Limité par le nombre de libellés d'ingestion.

Configurer Bindplane pour SHM avec Google Cloud Monitoring

Voici les conditions préalables pour configurer Bindplane pour SHM avec Google Cloud Monitoring :

• Un serveur Bindplane déployé et configuré avec un processeur de standardisation Google SecOps.
• Le processeur de standardisation Google SecOps est configuré pour ajouter un log_type compatible et un libellé d'ingestion (par exemple, ingestion_source).

Pour configurer Bindplane pour SHM avec Google Cloud Monitoring, procédez comme suit :

1. Envoyez le nom d'hôte du serveur collecteur en tant qu'attribut dans chaque entrée de journal.
2. Dans l'onglet Journal, sélectionnez Processeurs > Ajouter des processeurs > Copier le champ.
3. Configurez le processeur Copier le champ :
   • Saisissez une brève description de la ressource.
   • Choisissez le type de télémétrie Logs.
   • Définissez le champ Copy From sur Resources.
   • Définissez le champ Resource field sur host.name.
   • Définissez le champ Copy To field sur Attributes.
   • Définissez le champ Attributes Field sur chronicle_ingestion_label["ingestion_source"], par exemple.

Configurer le seuil Google Cloud Monitoring pour SHM

Définissez un seuil en fonction de votre taux d'ingestion attendu. Les seuils les plus bas détectent les pannes du collecteur, tandis que les seuils les plus élevés détectent les lacunes dans les journaux en amont.

Après avoir configuré le seuil Google Cloud Monitoring pour SHM, nous vous recommandons de surveiller la métrique Nombre total de journaux d'ingestion sous Collecteur Chronicle > Ingestion >. Pour obtenir des instructions détaillées sur la configuration d'un exemple, consultez Configurer un exemple de règle pour détecter les agents de collecte Google SecOps silencieux.

Utiliser un tableau de bord Google SecOps pour SHM

Utilisez un tableau de bord Google SecOps pour afficher le nombre quotidien d'hôtes de surveillance qui sont devenus silencieux.

Cette méthode est idéale pour obtenir des aperçus quotidiens généraux, mais elle ne prend pas en charge les alertes et les résultats ont une latence pouvant atteindre six heures.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.