サイレント ホストのモニタリング
このドキュメントでは、Google Security Operations のサイレント ホスト モニタリング(SHM)を使用して、環境内でサイレント状態になったホストを特定する方法について説明します。
サイレント ホストは、コレクタの停止の可能性を通知できます。
SHM に取り込みラベルで Google Cloud Monitoring を使用する
この方法では、Google Cloud Monitoring を使用して、SHM の取り込みラベルに基づいてログ取り込み率をモニタリングします。
このセクションでは、Bindplane を使用してこのメソッドを設定する方法について説明します。手順は次のとおりです。
SHM の取り込みラベルを適用するログ パイプラインを設定したら、取り込み率が指定されたしきい値を下回った場合に、コレクタごとに Google Cloud Monitoring アラートを設定できます。アラートを Google SecOps 以外のさまざまな場所に送信するように構成し、アラートをワークフローに統合できます。
この方法のメリット:
- イベント時間ではなく取り込み時間をモニタリングします。
- Cloud Monitoring の高度なアラート機能を利用します。
この方法のデメリット:
- Google SecOps の外部で個別の構成が必要です。
- 取り込みラベルの数によって制限されます。
Google Cloud Monitoring で SHM 用に Bindplane を構成する
Google Cloud Monitoring で SHM 用に Bindplane を構成するための前提条件は次のとおりです。
- Google SecOps 標準化 プロセッサで構成された、デプロイ済みの Bindplane サーバー。
- Google SecOps 標準化プロセッサは、サポートされている
log_typeと取り込みラベル(ingestion_sourceなど)を追加するように構成されています。
Google Cloud Monitoring で SHM 用に Bindplane を構成するには、次の操作を行います。
- コレクタ サーバーのホスト名を各ログエントリの属性として送信します。
- [ログ] タブで、[プロセッサ] > [プロセッサを追加] > [フィールドをコピー] を選択します。
- Copy Field プロセッサを構成します。
- リソースの簡単な説明を入力します。
Logsテレメトリー タイプを選択します。Copy FromフィールドをResourcesに設定します。Resource fieldフィールドをhost.nameに設定します。Copy To fieldフィールドをAttributesに設定します。Attributes Fieldフィールドをchronicle_ingestion_label["ingestion_source"]などに設定します。
SHM の Google Cloud Monitoring しきい値を構成する
予想される取り込みレートに基づいてしきい値を定義します。しきい値を低くするとコレクタの停止が検出され、しきい値を高くするとアップストリーム ログのギャップが検出されます。
SHM の Google Cloud Monitoring のしきい値を構成したら、Chronicle Collector > Ingestion > Total Ingestion Log Count 指標をモニタリングすることをおすすめします。サンプル設定の詳細な手順については、サイレント Google SecOps コレクション エージェントを検出するサンプル ポリシーを設定するをご覧ください。
SHM に Google SecOps ダッシュボードを使用する
Google SecOps ダッシュボードを使用して、サイレント状態になったモニタリング ホストの毎日のカウントを表示します。
この方法は、毎日の概要を大まかに把握するのに適していますが、アラートはサポートされておらず、結果には最大 6 時間の遅延があります。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。