Esta página foi traduzida pela API Cloud Translation.

Monitorização de anfitriões silenciosos

Suportado em:

Google secops SIEM

Este documento explica os métodos de como a monitorização silenciosa de anfitriões (SHM) do Google Security Operations lhe permite identificar anfitriões no seu ambiente que ficaram silenciosos.

Um anfitrião silencioso pode sinalizar potenciais paragens do coletor.

Use o Google Cloud Monitoring com etiquetas de carregamento para o SHM

Este método usa o Google Cloud Monitoring para monitorizar as taxas de carregamento de registos com base nas etiquetas de carregamento para o SHM.

Esta secção descreve como configurar este método através do Bindplane, que inclui os seguintes passos:

Configure o Bindplane para SHM com o Google Cloud Monitoring
Configure o limite do Google Cloud Monitoring para o SHM

Depois de configurar um pipeline de registos que aplique etiquetas de carregamento para o SHM, pode configurar alertas do Google Cloud Monitoring por coletor, para quando a taxa de carregamento ficar abaixo de um limite especificado. Pode configurar os alertas para serem enviados para vários locais fora do Google SecOps e integrar os alertas num fluxo de trabalho.

Vantagens deste método:

Monitoriza a hora de carregamento e não a hora do evento.
Tiram partido das capacidades de alerta avançadas do Cloud Monitoring.

Desvantagens deste método:

Requer uma configuração separada fora do Google SecOps.
Limitado pelo número de etiquetas de carregamento.

Configure o Bindplane para SHM com o Google Cloud Monitoring

Seguem-se os pré-requisitos para configurar o Bindplane para SHM com o Google Cloud Monitoring:

Um servidor Bindplane implementado que está configurado com um processador de normalização do Google SecOps.
O processador de normalização do Google SecOps está configurado para adicionar um log_type suportado e uma etiqueta de carregamento (por exemplo, ingestion_source).

Para configurar o Bindplane para SHM com o Google Cloud Monitoring, conclua os seguintes passos:

Envie o nome de anfitrião do servidor de recolha como um atributo em cada entrada de registo.
No separador Registo, selecione Processadores > Adicionar processadores > Copiar campo.
Configure o processador Copiar campo:
- Introduza uma breve descrição do recurso.
- Escolha o Logstipo de telemetria.
- Defina o campo Copy From como Resources.
- Defina o campo Resource field como host.name.
- Defina o campo Copy To field como Attributes.
- Defina o campo Attributes Field, por exemplo, para chronicle_ingestion_label["ingestion_source"].

Configure o limite do Google Cloud Monitoring para SHM

Defina um limite com base na taxa de carregamento esperada. Os limites inferiores detetam falhas de funcionamento do coletor; os limites superiores detetam lacunas nos registos a montante.

Depois de configurar o limite do Google Cloud Monitoring para o SHM, recomendamos que monitorize a métrica Chronicle Collector > Carregamento > Total Ingestion Log Count. Para instruções detalhadas de configuração de amostras, aceda a Configure uma política de amostra para detetar agentes de recolha silenciosos do Google SecOps.

Use um painel de controlo do Google SecOps para SHM

Use um painel de controlo do Google SecOps para ver as contagens diárias de anfitriões de monitorização que ficaram inativos.

Este método é excelente para obter vistas gerais diárias de alto nível, mas não suporta alertas e os resultados têm uma latência de até 6 horas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.