静默主机监控

支持的平台:

本文档介绍了 Google Security Operations 静默主机监控 (SHM) 如何帮助您识别环境中已进入静默状态的主机。

静默主机可以指示潜在的收集器停止。

将 Google Cloud Monitoring 与 SHM 的提取标签搭配使用

此方法使用 Google Cloud Monitoring 根据 SHM 的注入标签监控日志注入速率。

本部分介绍了如何使用 Bindplane 设置此方法,包括以下步骤:

  1. 为 SHM 配置 Bindplane 和 Google Cloud Monitoring
  2. 为 SHM 配置 Google Cloud Monitoring 阈值

设置应用 SHM 提取标签的日志流水线后,您可以为每个收集器设置 Google Cloud Monitoring 提醒,以便在提取速率低于指定阈值时收到提醒。您可以配置提醒,使其发送到 Google SecOps 以外的各种位置,并将提醒集成到工作流中。

此方法的好处:

  • 监控的是提取时间,而不是事件时间。
  • 利用 Cloud Monitoring 的高级提醒功能。

此方法的缺点:

  • 需要在 Google SecOps 之外进行单独配置。
  • 提取标签数量的限制。

为 SHM 配置 Bindplane,以搭配 Google Cloud Monitoring 使用

如需为 SHM 配置 Bindplane 并使用 Google Cloud Monitoring,您需要满足以下前提条件:

如需配置 Bindplane 以将 SHM 与 Google Cloud Monitoring 搭配使用,请完成以下步骤:

  1. 在每个日志条目中以属性的形式发送收集器服务器的主机名。
  2. 日志标签页中,依次选择处理器 > 添加处理器 > 复制字段
  3. 配置 Copy Field 处理器:
    • 输入资源的简短说明。
    • 选择 Logs 遥测类型。
    • Copy From 字段设置为 Resources
    • Resource field 字段设置为 host.name
    • Copy To field 字段设置为 Attributes
    • Attributes Field 字段设置为 chronicle_ingestion_label["ingestion_source"] 等值。

为 SHM 配置 Google Cloud Monitoring 阈值

根据预期提取速率定义阈值。较低的阈值用于检测收集器中断;较高的阈值用于检测上游日志间隙。

为 SHM 配置 Google Cloud Monitoring 阈值后,建议您监控 Chronicle Collector > Ingestion > Total Ingestion Log Count 指标。如需查看详细的示例设置说明,请参阅设置示例政策以检测静默的 Google SecOps 收集代理

使用 Google SecOps 信息中心进行 SHM

使用 Google SecOps 信息中心查看已静默的监控主机的每日数量。

此方法非常适合查看每日概览,但不支持提醒,并且结果的延迟时间最长可达 6 小时。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。