Health Hub verwenden

Unterstützt in:

In diesem Dokument wird der Health Hub beschrieben. Das ist der zentrale Ort in Google Security Operations, an dem Sie den Status und die Integrität aller konfigurierten Datenquellen im Blick behalten können. Der Health Hub bietet wichtige Informationen zu fehlgeschlagenen Quellen und Protokolltypen und liefert so den Kontext, der zur Diagnose und Behebung von Problemen mit Datenpipelines erforderlich ist.

Der Health Hub enthält Informationen zu den folgenden Themen:

  • Aufnahmevolumen und Aufnahmezustand.
  • Parsing-Volumen von Rohlogs zu UDM-Ereignissen (Unified Data Model).
  • Kontext und Links zu Oberflächen mit zusätzlichen relevanten Informationen und Funktionen.
  • Fehlerhafte Quellen und Logtypen. Der Health Hub erkennt Fehler auf Kundenbasis.

Hauptvorteile

Im Health Hub haben Sie folgende Möglichkeiten:

  • Gesamtzustand der Daten auf einen Blick überwachen Hier sehen Sie den wichtigsten Gesundheitsstatus und die zugehörigen Messwerte für jeden Feed, jede Datenquelle, jeden Logtyp und jede Quelle (d. h. die Feed-ID).
  • Beobachten Sie aggregierte Messwerte zur Datenqualität für die Aufnahme und das Parsing im Zeitverlauf mit hervorgehobenen Ereignissen, die mit gefilterten Dashboards verknüpft sind.
  • Auf zugehörige Dashboards zugreifen, die nach Zeitraum, Log-Typ oder Feed gefiltert sind
  • Rufen Sie die Feedkonfiguration auf, um ein Problem zu beheben.
  • Greifen Sie auf die Parserkonfiguration zu, um ein Problem zu beheben.
  • Klicken Sie auf den Link Benachrichtigungen einrichten, um die Cloud Monitoring-Oberfläche zu öffnen. Dort können Sie benutzerdefinierte API-basierte Benachrichtigungen mit den Messwerten Status und Logvolumen konfigurieren.

Wichtige Fragen

In diesem Abschnitt werden Health Hub-Komponenten und -Parameter beschrieben, die im Abschnitt Schnittstelle erläutert werden.

Mit dem Health Hub können Sie die folgenden Fragen zu Ihrer Datenpipeline beantworten:

  • Was waren die letzten Ausführungen meines Feeds oder die letzten Fehler meines Parsers?

    Der Health Hub enthält ein detailliertes Dashboard mit den letzten 200 Feed-Ausführungen und den letzten 200 Parserfehlern für die jeweilige Zeile, auf die Sie klicken.

  • Werden meine Logs an Google SecOps gesendet?

    Mit den Messwerten Last Ingested (Zuletzt aufgenommen) und Last Normalized (Zuletzt normalisiert) können Sie prüfen, ob Logs bei Google SecOps eingehen. Diese Messwerte geben an, wann Daten zuletzt erfolgreich bereitgestellt wurden. Außerdem sehen Sie in den Messwerten zum Aufnahmevolumen (pro Quelle und pro Logtyp) die Menge der aufgenommenen Daten.

  • Werden meine Logs richtig geparst?

    Um zu prüfen, ob die Daten richtig geparst wurden, sehen Sie sich den Messwert Zuletzt normalisiert an. Dieser Messwert gibt an, wann die letzte erfolgreiche Transformation von einem Rohlog in ein UDM-Ereignis stattgefunden hat.

  • Warum erfolgt die Aufnahme oder das Parsen nicht?

    Der Text in der Spalte Details zum letzten Problem gibt bestimmte Probleme an. So können Sie feststellen, ob die Maßnahme erforderlich ist (Sie müssen das Problem beheben) oder nicht erforderlich ist (Support ist erforderlich). Der Text Forbidden 403: Permission denied (Verboten 403: Berechtigung verweigert) ist ein Beispiel für einen umsetzbaren Fehler, bei dem dem in der Feedkonfiguration angegebenen Authentifizierungskonto die erforderlichen Berechtigungen fehlen. Der Text Internal_error ist ein Beispiel für einen nicht umsetzbaren Fehler, bei dem die empfohlene Maßnahme darin besteht, eine Supportanfrage bei Google SecOps zu stellen.

  • Gibt es signifikante Änderungen bei der Anzahl der aufgenommenen und geparsten Logs?

    Im Feld Status wird der Zustand Ihrer Daten (Gut oder Fehler) basierend auf dem Datenvolumen angezeigt. Anhand des Diagramms Insgesamt aufgenommene Logs können Sie auch plötzliche oder anhaltende Spitzen oder Rückgänge erkennen.

  • Wie kann ich benachrichtigt werden, wenn meine Quellen ausfallen?

    Der Health Hub speist die Messwerte für Status und Logvolumen in Cloud Monitoring ein. Klicken Sie in einer der Health Hub-Tabellen auf den entsprechenden Benachrichtigungen-Link, um die Cloud Monitoring-Oberfläche zu öffnen. Dort können Sie benutzerdefinierte API-basierte Benachrichtigungen mit Status- und Logvolumenmesswerten konfigurieren.

  • Wie kann ich eine Verzögerung bei der Aufnahme von Logdaten ableiten?

    Eine Verzögerung wird angezeigt, wenn der Zeitstempel Last Event Time (Zeit des letzten Ereignisses) deutlich hinter dem Zeitstempel Last Ingested (Zuletzt erfasst) liegt. Im Health Hub wird das 95.th des Deltas Last IngestedLast Event Time (Letzte Aufnahme – Letzte Ereigniszeit) pro Logtyp angezeigt. Ein hoher Wert deutet auf ein Latenzproblem in der Google SecOps-Pipeline hin, während ein normaler Wert darauf hindeuten kann, dass die Quelle alte Daten überträgt.

  • Haben kürzlich vorgenommene Änderungen an meiner Konfiguration zu Feedfehlern geführt?

    Wenn der Zeitstempel Konfiguration zuletzt aktualisiert in der Nähe des Zeitstempels Zuletzt erfasst liegt, deutet dies darauf hin, dass eine kürzlich erfolgte Konfigurationsaktualisierung die Ursache für einen Fehler sein könnte. Diese Korrelation hilft bei der Ursachenanalyse.

  • Wie hat sich die Qualität der Aufnahme und des Parsings im Laufe der Zeit entwickelt?

    In den Diagrammen Data Source Health Overview (Übersicht zum Zustand der Datenquelle), Parsing Health Overview (Übersicht zum Zustand des Parsings) und Total Ingested Logs (Gesamtzahl der aufgenommenen Logs) sehen Sie den historischen Trend des Zustands Ihrer Daten und können so langfristige Muster beobachten.

Schnittstelle

Klicken Sie in der Seitenleiste auf Health Hub, um den Health Hub zu öffnen.

Der Gesundheitshub ist ein schreibgeschütztes Standard-Dashboard und kann nicht direkt geändert werden. Wenn Sie das Dashboard anpassen möchten, erstellen Sie eine Kopie von Health Hub und bearbeiten Sie das duplizierte Dashboard dann für Ihren speziellen Anwendungsfall.

Im Health Hub werden die folgenden Widgets angezeigt:

  • Widgets mit großen Zahlen:

    • Fehlerfreie Quellen: Die Anzahl der Datenquellen, die ohne Fehler ausgeführt werden.
    • Fehlerhafte Quellen: Die Anzahl der Datenquellen, die sofortige Aufmerksamkeit erfordern.
    • Fehlerfreie Parser: Die Anzahl der Parser, die ohne Fehler ausgeführt werden.
    • Fehlerhafte Parser: Die Anzahl der Parser, die sofortige Aufmerksamkeit erfordern.

  • Übersicht über den Zustand von Datenquellen: Ein Liniendiagramm mit den Kurven für Gesunde und Kritische Datenquellen pro Tag im Zeitverlauf.

  • Health Overview parsen: Ein Liniendiagramm mit den Kurven für Healthy- und Critical-Parser pro Tag im Zeitverlauf.

  • Insgesamt aufgenommene Logs: Ein Liniendiagramm mit der Kurve für Aufgenommene Logs (Logs pro Tag) im Zeitverlauf.

  • Fehlerhafter Parser nach Logtyp: Ein Liniendiagramm mit einer Kurve für jeden Parser mit einem kritischen Zustand, nach Tag im Zeitverlauf. In diesem Zusammenhang ist der kritische Gesundheitsstatus auf eine sehr niedrige Parsing-Erfolgsrate zurückzuführen.

  • Tabelle Gesundheitsstatus nach Datenquelle: Enthält die folgenden Spalten:

    • Status: Der kumulative Status des Feeds (Healthy oder Failed), der aus Datenvolumen, Konfigurationsfehlern und API-Fehlern abgeleitet wird.
    • Quelltyp: Der Quelltyp (Aufnahmemechanismus), z. B. Ingestion API, Feeds, Native Workspace Ingestion oder Azure Event Hub Feeds.
    • Name: Der Feedname.
    • Protokolltyp: Der Protokolltyp, z. B. CS_EDR, UDM, GCP_CLOUDAUDIT oder WINEVTLOG.
    • Details zum letzten Problem: Die Details zum letzten Problem im angegebenen Zeitraum, z. B. Fehler beim Parsen von Protokollen, Problem mit Konfigurationsanmeldedaten oder Problem mit der Normalisierung. Das angegebene Problem kann behoben werden (z. B. Falsche Autorisierung) oder nicht (z. B. Interner Fehler). Wenn das Problem nicht behoben werden kann, wird empfohlen, eine Supportanfrage bei Google SecOps zu stellen. Wenn im angegebenen Zeitraum kein Problem aufgetreten ist, ist der Wert leer oder es wird OK angezeigt.
    • Dauer des Problems: Die Anzahl der Tage, die sich die Datenquelle in einem Fehlerstatus befunden hat. Wenn der Status Fehlerfrei ist, ist der Wert leer oder es wird N/A angezeigt.
    • Zuletzt erhoben: Der Zeitstempel der letzten Datenerhebung.
    • Letzte Aufnahme: Der Zeitstempel der letzten erfolgreichen Aufnahme. Mit diesem Messwert können Sie feststellen, ob Ihre Logs Google SecOps erreichen.
    • Konfiguration zuletzt aktualisiert: Der Zeitstempel der letzten Änderung des Messwerts. Mit diesem Wert können Sie Konfigurationsaktualisierungen mit beobachteten Fehlern in Beziehung setzen, um die Ursache von Problemen beim Erfassen oder Parsen zu ermitteln.
    • Details zur Aufnahme ansehen: Ein Link, über den ein neuer Tab mit einem weiteren Dashboard geöffnet wird, das zusätzliche historische Informationen für eine detailliertere Analyse enthält.
    • Datenquelle bearbeiten: Ein Link, über den ein neuer Tab mit der entsprechenden Feedkonfiguration geöffnet wird. Dort können Sie Konfigurationsfehler beheben.
    • Benachrichtigungen einrichten: Ein Link, der einen neuen Tab mit der entsprechenden Cloud Monitoring-Oberfläche öffnet.

  • Tabelle Health Status by Parser (Gesundheitsstatus nach Parser): Enthält die folgenden Spalten:

    • Status: Der kumulative Status des Log-Typs (Fehlerfrei oder Fehlerhaft).
    • Fehlerhafte Parsing-Rate: Der Prozentsatz der Logs des entsprechenden Typs, die nicht geparst wurden.
    • Log Type: Der Protokolltyp, z. B. DNS, USER, GENERIC, AZURE_AD, BIND_DNS, GCP SECURITYCENTER THREAT oder WEBPROXY.
    • Details zum letzten Problem: Details zum letzten Parsing-Problem im angegebenen Zeitraum, z. B. Fehler beim Parsen von Protokollen, Problem mit Konfigurationsanmeldedaten oder Problem mit der Normalisierung. Das angegebene Problem kann behoben werden (z. B. Falsche Autorisierung) oder nicht (z. B. Interner Fehler). Wenn das Problem nicht behoben werden kann, wird empfohlen, eine Supportanfrage bei Google SecOps zu stellen. Wenn im angegebenen Zeitraum kein Problem aufgetreten ist, ist der Wert leer oder es wird OK angezeigt.
    • Dauer des Problems: Die Anzahl der Tage, die sich die Datenquelle in einem Fehlerstatus befunden hat. Wenn der Status Healthy ist, ist der Wert leer.
    • Letzte Aufnahme: Der Zeitstempel der letzten erfolgreichen Aufnahme. Mit diesem Messwert können Sie feststellen, ob Protokolle Google SecOps erreichen.

    • Zeit des letzten Ereignisses: Der Ereigniszeitstempel des letzten normalisierten Logs.

    • Zuletzt normalisiert: Der Zeitstempel der letzten Parsing- und Normalisierungsaktion für den Log-Typ. Mit diesem Messwert können Sie feststellen, ob Rohlogs erfolgreich in UDM-Ereignisse umgewandelt werden.

    • Konfiguration zuletzt aktualisiert: Der Zeitstempel der letzten Änderung des Messwerts. Mit diesem Wert können Sie Konfigurationsaktualisierungen mit beobachteten Fehlern in Beziehung setzen, um die Ursache von Problemen beim Erfassen oder Parsen zu ermitteln.

    • Parsing-Details ansehen: Ein Link, der einen neuen Tab mit einem weiteren Dashboard öffnet, das zusätzliche historische Informationen für eine detailliertere Analyse enthält.

    • Parser bearbeiten: Ein Link, über den ein neuer Tab mit der entsprechenden Parserkonfiguration geöffnet wird. Dort können Sie konfigurationsbezogene Fehler beheben.

    • Warnung einrichten: Ein Link, der einen neuen Tab mit der entsprechenden Cloud Monitoring-Oberfläche öffnet.

Engine zur Erkennung von Unregelmäßigkeiten

Der Health Hub verwendet die Engine zur Erkennung von Unregelmäßigkeiten von Google SecOps, um automatisch signifikante Änderungen in Ihren Daten zu erkennen. So können Sie potenzielle Probleme schnell erkennen und beheben.

Erkennung von Unregelmäßigkeiten bei der Datenaufnahme

Google SecOps analysiert tägliche Volumenänderungen unter Berücksichtigung normaler Wochenmuster.

Die Engine zur Erkennung von Unregelmäßigkeiten verwendet die folgenden Berechnungen, um ungewöhnliche Spitzen oder Rückgänge bei der Datenerfassung zu erkennen:

  • Tages- und Wochenvergleiche: Google SecOps berechnet die Differenz des Aufnahmevolumens zwischen dem aktuellen und dem vorherigen Tag sowie die Differenz zwischen dem aktuellen Tag und dem durchschnittlichen Volumen der letzten Woche.

  • Standardisierung: Um die Signifikanz dieser Änderungen zu verstehen, standardisiert Google SecOps sie mit der folgenden Z-Score-Formel:

    z = (xi − x_bar) / stdev

    Dabei gilt:

    • z ist der standardisierte Wert (oder Z-Wert) für eine einzelne Differenz.
    • xi ist ein individueller Differenzwert.
    • x_bar ist der Mittelwert der Differenzen.
    • stdev ist die Standardabweichung der Differenzen.

  • Kennzeichnung von Unregelmäßigkeiten: Google SecOps kennzeichnet eine Unregelmäßigkeit, wenn sowohl die täglichen als auch die wöchentlichen standardisierten Änderungen statistisch signifikant sind. Google SecOps sucht nach:

    • Rückgänge: Sowohl die täglichen als auch die wöchentlichen standardisierten Differenzen sind kleiner als -1,645.
    • Anstiege: Sowohl die täglichen als auch die wöchentlichen standardisierten Differenzen sind größer als 1,645.

Normalisierungsverhältnis

Bei der Berechnung des Verhältnisses von erfassten zu normalisierten Ereignissen verwendet die Engine zur Erkennung von Unregelmäßigkeiten einen kombinierten Ansatz, um sicherzustellen, dass nur erhebliche Rückgänge der Normalisierungsraten gekennzeichnet werden. Die Engine zur Erkennung von Unregelmäßigkeiten generiert nur dann eine Benachrichtigung, wenn die folgenden beiden Bedingungen erfüllt sind:

  • Das Normalisierungsverhältnis ist im Vergleich zum Vortag statistisch signifikant gesunken.
  • Der Rückgang ist auch in absoluten Zahlen mit einem Wert von mindestens 0, 05 signifikant.

Erkennung von Unregelmäßigkeiten bei Parsing-Fehlern

Bei Fehlern, die beim Parsen von Daten auftreten, verwendet die Engine zur Erkennung von Unregelmäßigkeiten eine auf Verhältnissen basierende Methode. Die Engine zur Erkennung von Unregelmäßigkeiten löst eine Benachrichtigung aus, wenn der Anteil der Parserfehler im Verhältnis zur Gesamtzahl der aufgenommenen Ereignisse im Vergleich zum Vortag um mindestens 5 Prozentpunkte steigt.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten