無聲主機監控

本文說明 Google Security Operations 無聲主機監控 (SHM) 的方法，可協助您找出環境中無聲的主機。

無聲主機可以發出信號，表示收集器可能停止運作。

搭配使用 Google Cloud Monitoring 與 SHM 的擷取標籤

這個方法會使用 Google Cloud Monitoring，根據 SHM 的擷取標籤監控記錄擷取率。

本節說明如何使用 Bindplane 設定這個方法，包括下列步驟：

1. 使用 Google Cloud Monitoring 設定 Bindplane for SHM
2. 設定 SHM 的 Google Cloud Monitoring 門檻

設定套用 SHM 擷取標籤的記錄管道後，您就可以針對每個收集器設定 Google Cloud Monitoring 快訊，在擷取率低於指定門檻時發出快訊。您可以設定將快訊傳送至 Google SecOps 以外的各種位置，並將快訊整合至工作流程。

這個方法的優點：

• 監控擷取時間，而非事件時間。
• 運用 Cloud Monitoring 的進階快訊功能。

這個方法的缺點：

• 必須在 Google SecOps 以外另外設定。
• 受限於擷取標籤數量。

透過 Google Cloud Monitoring 為 SHM 設定 Bindplane

如要透過 Google Cloud Monitoring 為 SHM 設定 Bindplane，請先滿足下列先決條件：

• 已部署的 Bindplane 伺服器，並已設定 Google SecOps 標準化 處理器。
• Google SecOps 標準化處理器已設定為新增支援的 log_type 和擷取標籤 (例如 ingestion_source)。

如要透過 Google Cloud Monitoring 設定 Bindplane for SHM，請完成下列步驟：

1. 在每個記錄檔項目中，將收集器伺服器的主機名稱做為屬性傳送。
2. 在「記錄」分頁中，依序選取「處理器」>「新增處理器」>「複製欄位」。
3. 設定「複製欄位」處理器：
   • 輸入資源的簡短說明。
   • 選擇Logs遙測類型。
   • 將 Copy From 欄位設為 Resources。
   • 將 Resource field 欄位設為 host.name。
   • 將 Copy To field 欄位設為 Attributes。
   • 將 Attributes Field 欄位設為 chronicle_ingestion_label["ingestion_source"] 等值。

設定 SHM 的 Google Cloud Monitoring 門檻

根據預期的擷取率定義門檻。較低的門檻會偵測收集器中斷情形，較高的門檻則會偵測上游記錄間隙。

設定 SHM 的 Google Cloud Monitoring 門檻後，建議您監控「Chronicle Collector」>「Ingestion」>「Total Ingestion Log Count」指標。如需詳細的範例設定操作說明，請參閱「設定範例政策，偵測未出聲的 Google SecOps 收集代理程式」。

使用 Google SecOps 資訊主頁進行 SHM

使用 Google SecOps 資訊主頁，查看已停止回報的監控主機每日計數。

這個方法很適合用來查看每日概覽，但無法支援快訊，且結果最多會有 6 小時的延遲。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。