Halaman ini diterjemahkan oleh Cloud Translation API.

Pemantauan host senyap

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan metode pemantauan host senyap (SHM) Google Security Operations yang memungkinkan Anda mengidentifikasi host di lingkungan Anda yang tidak aktif.

Host yang tidak aktif dapat menandakan potensi penghentian pengumpulan data.

Menggunakan Google Cloud Monitoring dengan label penyerapan untuk SHM

Metode ini menggunakan Google Cloud Monitoring untuk memantau kecepatan penyerapan log berdasarkan label penyerapan untuk SHM.

Bagian ini menjelaskan cara menyiapkan metode ini menggunakan Bindplane, yang mencakup langkah-langkah berikut:

Mengonfigurasi BindPlane untuk SHM dengan Google Cloud Monitoring
Mengonfigurasi nilai minimum Google Cloud Monitoring untuk SHM

Setelah menyiapkan pipeline log yang menerapkan label penyerapan untuk SHM, Anda dapat menyiapkan pemberitahuan Google Cloud Monitoring per pengumpul—untuk saat rasio penyerapan turun di bawah nilai minimum yang ditentukan. Anda dapat mengonfigurasi pemberitahuan untuk dikirim ke berbagai tempat di luar Google SecOps dan mengintegrasikan pemberitahuan ke dalam alur kerja.

Manfaat metode ini:

Memantau waktu penyerapan, bukan waktu peristiwa.
Memanfaatkan kemampuan pemberitahuan lanjutan Cloud Monitoring.

Kekurangan metode ini:

Memerlukan konfigurasi terpisah di luar Google SecOps.
Dibatasi oleh jumlah label penyerapan.

Mengonfigurasi BindPlane untuk SHM dengan Google Cloud Monitoring

Prasyarat untuk mengonfigurasi BindPlane untuk SHM dengan Google Cloud Monitoring adalah sebagai berikut:

Server Bindplane yang di-deploy dan dikonfigurasi dengan Proses Standardisasi Google SecOps .
Prosesor Standardisasi Google SecOps dikonfigurasi untuk menambahkan log_type yang didukung dan label penyerapan (misalnya, ingestion_source).

Untuk mengonfigurasi Bindplane untuk SHM dengan Google Cloud Monitoring, selesaikan langkah-langkah berikut:

Kirim nama host server pengumpul sebagai atribut di setiap entri log.
Di tab Log, pilih Prosesor > Tambahkan Prosesor > Salin Kolom.
Konfigurasi pemroses Copy Field:
- Masukkan deskripsi singkat untuk resource.
- Pilih jenis telemetri Logs.
- Tetapkan kolom Copy From ke Resources.
- Tetapkan kolom Resource field ke host.name.
- Tetapkan kolom Copy To field ke Attributes.
- Tetapkan kolom Attributes Field, misalnya, ke chronicle_ingestion_label["ingestion_source"].

Mengonfigurasi nilai minimum Google Cloud Monitoring untuk SHM

Tentukan nilai minimum berdasarkan kecepatan penyerapan yang diharapkan. Nilai minimum yang lebih rendah mendeteksi gangguan pengumpul; nilai minimum yang lebih tinggi mendeteksi kesenjangan log upstream.

Setelah mengonfigurasi nilai minimum Google Cloud Monitoring untuk SHM, sebaiknya pantau metrik Chronicle Collector > Ingestion > Total Ingestion Log Count. Untuk mengetahui petunjuk penyiapan sampel yang mendetail, buka Menyiapkan kebijakan sampel untuk mendeteksi agen pengumpulan data Google SecOps yang tidak aktif.

Menggunakan dasbor Google SecOps untuk SHM

Gunakan dasbor Google SecOps untuk melihat jumlah harian host pemantauan yang tidak aktif.

Metode ini sangat cocok untuk ringkasan harian tingkat tinggi, tetapi metode ini tidak mendukung pemberitahuan, dan hasilnya memiliki latensi hingga 6 jam.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.