Cómo usar el Centro de salud

Se admite en los siguientes sistemas operativos:

En este documento, se describe el Centro de estado, que es la ubicación central en Google Security Operations para que supervises el estado y el funcionamiento de todas las fuentes de datos configuradas. El Centro de estado proporciona información crítica sobre las fuentes y los tipos de registros con errores, lo que ofrece el contexto necesario para diagnosticar y corregir los problemas de la canalización de datos.

El Centro de salud incluye información sobre lo siguiente:

  • Volúmenes y estado de la transferencia
  • Volúmenes de análisis de registros sin procesar a eventos del modelo de datos unificado (UDM)
  • Contexto y vínculos a interfaces con información y funciones pertinentes adicionales
  • Fuentes y tipos de registros con errores El Centro de estado detecta fallas por cliente.

Ventajas clave

Puedes usar el Centro de estado para hacer lo siguiente:

  • Supervisa el estado general de los datos de un vistazo. Consulta el estado de salud principal y las métricas asociadas de cada feed, fuente de datos, tipo de registro y fuente (es decir, el ID del feed).
  • Supervisa las métricas agregadas de la calidad de los datos para la transferencia y el análisis a lo largo del tiempo con eventos destacados que vinculan a paneles filtrados.
  • Accede a los paneles relacionados, filtrados por período, tipo de registro o feed.
  • Accede a la configuración del feed para editar y corregir o solucionar un problema.
  • Accede a la configuración del analizador para editar y corregir o solucionar un problema.
  • Haz clic en el vínculo Configurar alertas para abrir la interfaz de Cloud Monitoring y, desde allí, configura alertas personalizadas basadas en la API con las métricas de Estado y de volumen de registros.

Preguntas clave

En esta sección, se hace referencia a los componentes y parámetros de Health Hub, que se describen en la sección Interfaz.

Puedes usar el Centro de estado para responder las siguientes preguntas sobre tu canalización de datos:

  • ¿Cuáles fueron las últimas ejecuciones de mi feed o los últimos errores de mi analizador?

    El Centro de estado tiene un panel detallado que muestra las últimas 200 ejecuciones del feed y los últimos 200 errores del analizador para la fila específica en la que haces clic.

  • ¿Mis registros llegan a Google SecOps?

    Puedes verificar si los registros llegan a Google SecOps con las métricas Last Ingested y Last Normalized. Estas métricas confirman la última vez que se entregaron los datos correctamente. Además, las métricas de volumen de transferencia (por fuente y por tipo de registro) muestran la cantidad de datos que se transfieren.

  • ¿Mis registros se analizan correctamente?

    Para confirmar que el análisis es correcto, consulta la métrica Last Normalized. Esta métrica indica cuándo se produjo la última transformación exitosa del registro sin procesar en un evento del UDM.

  • ¿Por qué no se realiza la transferencia o el análisis?

    El texto de la columna Detalles del problema más reciente identifica problemas específicos, lo que te ayuda a determinar si la acción es práctica (la corriges tú) o no práctica (requiere asistencia). El texto Forbidden 403: Permission denied es un ejemplo de un error sobre el que se puede realizar una acción, en el que la cuenta de autorización proporcionada en la configuración del feed no tiene los permisos necesarios. El texto Internal_error es un ejemplo de un error no procesable, en el que la acción recomendada es abrir un caso de ayuda con el equipo de SecOps de Google.

  • ¿Hay cambios significativos en la cantidad de registros ingeridos y analizados?

    El campo Estado muestra la integridad de tus datos (Correcto o Incorrecto) según el volumen de datos. También puedes identificar aumentos o disminuciones repentinos o sostenidos en el gráfico Total de registros ingeridos.

  • ¿Cómo puedo recibir alertas si mis fuentes fallan?

    El Centro de estado envía las métricas de Estado y de volumen de registros a Cloud Monitoring. En una de las tablas de Health Hub, haz clic en el vínculo Alertas pertinente para abrir la interfaz de Cloud Monitoring. Allí, puedes configurar alertas personalizadas basadas en la API con las métricas de Estado y de volumen de registros.

  • ¿Cómo puedo inferir una demora en una transferencia de datos de tipo registro?

    Se indica una demora cuando la Hora del último evento está significativamente atrasada con respecto a la marca de tiempo de Última incorporación. El Centro de estado expone el percentil 95th del delta entre Última incorporación y Hora del último evento por tipo de registro. Un valor alto sugiere un problema de latencia dentro de la canalización de Google SecOps, mientras que un valor normal podría indicar que la fuente está enviando datos antiguos.

  • ¿Los cambios recientes en mi configuración provocaron errores en el feed?

    Si la marca de tiempo de Config Last Updated está cerca de la marca de tiempo de Last Ingested, esto sugiere que una actualización de configuración reciente puede ser la causa de una falla. Esta correlación ayuda en el análisis de la causa raíz.

  • ¿Cómo ha evolucionado el estado de la transferencia y el análisis con el tiempo?

    Los gráficos Resumen del estado de la fuente de datos, Resumen del estado del análisis y Registros totales ingeridos muestran la tendencia histórica del estado de tus datos, lo que te permite observar patrones a largo plazo.

Interfaz

Para abrir el Centro de estado, haz clic en Centro de estado en el menú de navegación lateral.

El Centro de estado es un panel predeterminado de solo lectura y no se puede modificar directamente. Para personalizarlo, crea una copia del Centro de estado y, luego, modifica el panel duplicado para tu caso de uso específico.

En el Centro de estado, se muestran los siguientes widgets:

  • Widgets de números grandes:

    • Fuentes en buen estado: Es la cantidad de fuentes de datos que funcionan sin fallas.
    • Fuentes con errores: Es la cantidad de fuentes de datos que requieren atención inmediata.
    • Healthy Parsers: Es la cantidad de analizadores que funcionan sin errores.
    • Failed Parsers: Es la cantidad de analizadores que requieren atención inmediata.

  • Resumen del estado de la fuente de datos: Es un gráfico de líneas que muestra las curvas de fuentes de datos por día En buen estado y Críticas a lo largo del tiempo.

  • Análisis del resumen de salud: Un gráfico de líneas que muestra las curvas de los analizadores Correctos y Críticos por día a lo largo del tiempo.

  • Total de registros transferidos: Es un gráfico de líneas que muestra la curva de registros por día de Registros transferidos a lo largo del tiempo.

  • Failing Parser by Log Type: Es un gráfico de líneas que muestra una curva para cada analizador con un estado de salud crítico, por día a lo largo del tiempo. En este contexto, el estado de salud crítico se debe a una tasa de éxito de análisis muy baja.

  • Tabla Estado de salud por fuente de datos: Incluye las siguientes columnas:

    • Estado: Es el estado acumulativo del feed (Correcto o Con errores), que se deriva del volumen de datos, los errores de configuración y los errores de la API.
    • Tipo de fuente: Es el tipo de fuente (mecanismo de transferencia), por ejemplo, API de Ingestion, Feeds, Native Workspace Ingestion o Azure Event Hub Feeds.
    • Nombre: Es el nombre del feed.
    • Log Type: Es el tipo de registro, por ejemplo, CS_EDR, UDM, GCP_CLOUDAUDIT o WINEVTLOG.
    • Detalles del problema más reciente: Son los detalles sobre el problema más reciente en el período especificado, por ejemplo, Error al analizar los registros, Problema con las credenciales de configuración o Problema de normalización. El problema indicado puede ser procesable (por ejemplo, Incorrect Auth) o no procesable (por ejemplo, Internal_error). Si el problema no requiere ninguna acción, la acción recomendada es abrir un caso de ayuda con el equipo de Operaciones de seguridad de Google. Cuando no hubo problemas en el período especificado, el valor está vacío o muestra OK.
    • Duración del problema: Es la cantidad de días que la fuente de datos estuvo en estado de error. Cuando el Estado es En buen estado, el valor está vacío o muestra N/A.
    • Last Collected: Es la marca de tiempo de la última recopilación de datos.
    • Última transferencia: Es la marca de tiempo de la última transferencia exitosa. Usa esta métrica para identificar si tus registros llegan a Google SecOps.
    • Config Last Updated: Es la marca de tiempo del último cambio en la métrica. Usa este valor para correlacionar las actualizaciones de configuración con las fallas observadas, lo que te ayudará a determinar la causa raíz de los problemas de análisis o de transferencia de datos.
    • View Ingestion Details: Es un vínculo que abre una pestaña nueva con otro panel, que contiene información histórica adicional para un análisis más profundo.
    • Editar fuente de datos: Es un vínculo que abre una pestaña nueva con la configuración del feed correspondiente, en la que puedes corregir las fallas relacionadas con la configuración.
    • Configurar alertas: Es un vínculo que abre una pestaña nueva con la interfaz correspondiente de Cloud Monitoring.

  • Tabla Estado de salud por analizador: Incluye las siguientes columnas:

    • Estado: Es el estado acumulativo del tipo de registro (Correcto o Error).
    • Porcentaje de errores de análisis: Es el porcentaje de registros del tipo correspondiente que no se analizaron.
    • Log Type: Es el tipo de registro, por ejemplo, DNS, USER, GENERIC, AZURE_AD, BIND_DNS, GCP SECURITYCENTER THREAT o WEBPROXY.
    • Latest Issue Details: Son los detalles sobre el problema de análisis más reciente en el período especificado, por ejemplo, Failed parsing logs, Config credential issue o Normalization issue. El problema indicado puede ser procesable (por ejemplo, Incorrect Auth) o no procesable (por ejemplo, Internal_error). Si el problema no requiere ninguna acción, la acción recomendada es abrir un caso de ayuda con el equipo de Operaciones de seguridad de Google. Cuando no hubo problemas en el período especificado, el valor está vacío o muestra OK.
    • Duración del problema: Es la cantidad de días que la fuente de datos estuvo en estado de error. Cuando el Estado es En buen estado, el valor está vacío.
    • Última transferencia: Es la marca de tiempo de la última transferencia exitosa. Puedes usar esta métrica para determinar si los registros llegan a Google SecOps.

    • Hora del último evento: Es la marca de tiempo del evento del último registro normalizado.

    • Last Normalized: Es la marca de tiempo de la última acción de análisis y normalización para el tipo de registro. Puedes usar esta métrica para determinar si los registros sin procesar se transforman correctamente en eventos del UDM.

    • Config Last Updated: Es la marca de tiempo del último cambio en la métrica. Usa este valor para correlacionar las actualizaciones de configuración con las fallas observadas, lo que te ayudará a determinar la causa raíz de los problemas de análisis o de transferencia de datos.

    • Ver detalles del análisis: Es un vínculo que abre una pestaña nueva con otro panel, que contiene información histórica adicional para un análisis más profundo.

    • Edit Parser: Es un vínculo que abre una pestaña nueva con la configuración del analizador correspondiente, en la que puedes corregir errores relacionados con la configuración.

    • Configurar alerta: Es un vínculo que abre una pestaña nueva con la interfaz correspondiente de Cloud Monitoring.

Motor de detección de irregularidades

El Centro de estado usa el motor de detección de irregularidades de Google SecOps para identificar automáticamente cambios significativos en tus datos, lo que te permite detectar y abordar rápidamente los posibles problemas.

Detección de irregularidades en la transferencia de datos

Google SecOps analiza los cambios en el volumen diario y tiene en cuenta los patrones semanales normales.

El motor de detección de irregularidades usa los siguientes cálculos para detectar aumentos o disminuciones inusuales en la transferencia de datos:

  • Comparaciones diarias y semanales: Google SecOps calcula la diferencia en el volumen de transferencia entre el día actual y el día anterior, y también la diferencia entre el día actual y el volumen promedio de la semana anterior.

  • Estandarización: Para comprender la importancia de estos cambios, Google SecOps los estandariza con la siguiente fórmula de puntuación Z:

    z = (xi − x_bar) / stdev

    donde

    • z es la puntuación estandarizada (o puntuación Z) de una diferencia individual.
    • xi es un valor de diferencia individual.
    • x_bar es la media de las diferencias.
    • stdev es la desviación estándar de las diferencias.

  • Marcado de irregularidades: Google SecOps marca una irregularidad si los cambios estandarizados diarios y semanales son estadísticamente significativos. Específicamente, Google SecOps busca lo siguiente:

    • Drops: Las diferencias estandarizadas diarias y semanales son inferiores a -1.645.
    • Aumentos repentinos: Las diferencias estandarizadas diarias y semanales son mayores que 1.645.

Índice de normalización

Cuando calcula la proporción de eventos procesados y eventos normalizados, el motor de detección de irregularidades usa un enfoque combinado para garantizar que solo se marquen las disminuciones significativas en las tasas de normalización. El motor de detección de irregularidades genera una alerta solo cuando se cumplen las siguientes dos condiciones:

  • Se produjo una disminución estadísticamente significativa en la proporción de normalización en comparación con el día anterior.
  • La disminución también es significativa en términos absolutos, con una magnitud de 0.05 o más.

Detección de irregularidades en errores de análisis

Para los errores que se producen durante el análisis de datos, el motor de detección de irregularidades usa un método basado en proporciones. El motor de detección de irregularidades activa una alerta si la proporción de errores del analizador en relación con la cantidad total de eventos transferidos aumenta en 5 puntos porcentuales o más en comparación con el día anterior.

¿Qué sigue?

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.