Menggunakan Hub Kesehatan

Didukung di:

Dokumen ini menjelaskan Health Hub, yang merupakan lokasi terpusat di Google Security Operations bagi Anda untuk memantau status dan kondisi semua sumber data yang dikonfigurasi. Health Hub memberikan informasi penting tentang sumber dan jenis log yang gagal, sehingga memberikan konteks yang diperlukan untuk mendiagnosis dan memperbaiki masalah pipeline data.

Pusat Kesehatan mencakup informasi tentang hal berikut:

  • Volume penyerapan dan kondisi penyerapan.
  • Mengurai volume dari log mentah ke peristiwa Model Data Terpadu (UDM).
  • Konteks dan link ke antarmuka dengan informasi dan fungsi tambahan yang relevan.
  • Sumber dan jenis log yang gagal. Health Hub mendeteksi kegagalan berdasarkan per pelanggan.

Manfaat utama

Anda dapat menggunakan Health Hub untuk melakukan hal berikut:

  • Pantau kesehatan data secara keseluruhan dengan cepat. Lihat status kesehatan inti dan metrik terkait untuk setiap feed, sumber data, jenis log, dan sumber (yaitu, ID feed).
  • Pantau metrik kualitas data gabungan untuk penyerapan dan penguraian dari waktu ke waktu dengan peristiwa yang disorot yang ditautkan ke dasbor yang difilter.
  • Akses dasbor terkait, yang difilter menurut jangka waktu, jenis log, atau feed.
  • Akses konfigurasi feed untuk mengedit dan memperbaiki atau menyelesaikan masalah.
  • Akses konfigurasi parser untuk mengedit dan memperbaiki atau memulihkan masalah.
  • Klik link Siapkan Pemberitahuan untuk membuka antarmuka Cloud Monitoring, lalu dari sana, konfigurasi pemberitahuan berbasis API kustom menggunakan metrik Status dan volume log.

Pertanyaan utama

Bagian ini mengacu pada komponen dan parameter Health Hub, yang dijelaskan di bagian Antarmuka.

Anda dapat menggunakan Health Hub untuk menjawab pertanyaan berikut tentang pipeline data Anda:

  • Apa saja proses terakhir feed saya atau error terakhir dari parser saya?

    Health Hub memiliki dasbor analisis mendalam yang menampilkan 200 eksekusi feed terakhir dan 200 error parser terakhir untuk baris tertentu yang Anda klik.

  • Apakah log saya mencapai Google SecOps?

    Anda dapat memverifikasi apakah log mencapai Google SecOps menggunakan metrik Last Ingested dan Last Normalized. Metrik ini mengonfirmasi kapan terakhir kali data berhasil dikirim. Selain itu, metrik volume penyerapan (per sumber dan per jenis log) menunjukkan jumlah data yang diserap.

  • Apakah log saya diuraikan dengan benar?

    Untuk mengonfirmasi parsing yang benar, lihat metrik Terakhir Dinormalisasi. Metrik ini menunjukkan kapan transformasi terakhir yang berhasil dari log mentah menjadi peristiwa UDM terjadi.

  • Mengapa penyerapan atau penguraian tidak terjadi?

    Teks di kolom Detail Masalah Terbaru mengidentifikasi masalah tertentu, yang membantu Anda menentukan apakah tindakan tersebut dapat ditindaklanjuti (Anda memperbaikinya) atau tidak dapat ditindaklanjuti (memerlukan dukungan). Teks Forbidden 403: Permission denied adalah contoh error yang dapat ditindaklanjuti, di mana akun otorisasi yang diberikan dalam konfigurasi feed tidak memiliki izin yang diperlukan. Teks Internal_error adalah contoh error yang tidak dapat ditindaklanjuti, dengan tindakan yang disarankan adalah membuka kasus dukungan dengan Google SecOps.

  • Apakah ada perubahan signifikan dalam jumlah log yang diproses dan log yang diuraikan?

    Kolom Status menunjukkan kondisi data Anda (Sehat atau Gagal), berdasarkan volume data. Anda juga dapat mengidentifikasi lonjakan atau penurunan yang tiba-tiba atau berkelanjutan dengan melihat grafik Total Log yang Di-Ingest.

  • Bagaimana cara mendapatkan pemberitahuan jika sumber saya gagal?

    Health Hub memasukkan metrik Status dan volume log ke Cloud Monitoring. Di salah satu tabel Health Hub, klik link Alerts yang relevan untuk membuka antarmuka Cloud Monitoring. Di sana, Anda dapat mengonfigurasi pemberitahuan berbasis API kustom menggunakan metrik Status dan volume log.

  • Bagaimana cara menyimpulkan adanya penundaan dalam penyerapan jenis log?

    Penundaan ditunjukkan saat Waktu Peristiwa Terakhir jauh di belakang stempel waktu Terakhir Dimasukkan. Health Hub menampilkan persentil ke-95th delta Last IngestedLast Event Time—per jenis log. Nilai yang tinggi menunjukkan masalah latensi dalam pipeline Google SecOps, sedangkan nilai normal mungkin menunjukkan bahwa sumber mengirimkan data lama.

  • Apakah perubahan terbaru dalam konfigurasi saya menyebabkan kegagalan feed?

    Jika stempel waktu Config Terakhir Diperbarui mendekati stempel waktu Terakhir Dimasukkan, hal ini menunjukkan bahwa update konfigurasi terbaru mungkin menjadi penyebab kegagalan. Korelasi ini membantu dalam analisis akar masalah.

  • Bagaimana tren kualitas penyerapan dan parsing dari waktu ke waktu?

    Grafik Ringkasan Kesehatan Sumber Data, Ringkasan Kesehatan Parsing, dan Total Log yang Di-Ingest menampilkan tren historis kesehatan data Anda, sehingga Anda dapat mengamati pola jangka panjang.

Antarmuka

Untuk membuka Health Hub, di menu navigasi samping, klik Health Hub.

Health Hub adalah dasbor default hanya baca dan tidak dapat diubah secara langsung. Untuk menyesuaikan, buat salinan Health Hub, lalu ubah dasbor duplikat untuk kasus penggunaan spesifik Anda.

Hub Kesehatan menampilkan widget berikut:

  • Widget angka besar:

    • Sumber Sehat: Jumlah sumber data yang berfungsi tanpa kegagalan.
    • Sumber yang Gagal: Jumlah sumber data yang memerlukan perhatian segera.
    • Parser Sehat: Jumlah parser yang berfungsi tanpa kegagalan.
    • Parser Gagal: Jumlah parser yang memerlukan perhatian segera.

  • Ringkasan Kesehatan Sumber Data: Grafik garis yang menampilkan kurva sumber data per hari yang Sehat dan Kritis dari waktu ke waktu.

  • Mengurai Ringkasan Kesehatan: Diagram garis yang menampilkan kurva pengurai Sehat dan Kritis per hari dari waktu ke waktu.

  • Total Log yang Di-Ingest: Grafik garis yang menampilkan kurva log Log yang Di-Ingest per hari dari waktu ke waktu.

  • Parser yang Gagal menurut Jenis Log: Diagram garis yang menampilkan kurva untuk setiap parser dengan status kondisi kritis, per hari dari waktu ke waktu. Dalam konteks ini, status kesehatan kritis disebabkan oleh rasio keberhasilan parsing yang sangat rendah.

  • Tabel Status Kesehatan menurut Sumber Data—mencakup kolom berikut:

    • Status: Status kumulatif feed (Sehat atau Gagal), yang berasal dari volume data, error konfigurasi, dan error API.
    • Jenis Sumber: Jenis sumber (mekanisme penyerapan)—misalnya, Ingestion API, Feed, Penyerapan Workspace Native, atau Feed Azure Event Hub.
    • Nama: Nama feed.
    • Jenis Log: Jenis log—misalnya, CS_EDR, UDM, GCP_CLOUDAUDIT, atau WINEVTLOG.
    • Detail Masalah Terbaru: Detail tentang masalah terbaru dalam jangka waktu yang ditentukan—misalnya, Gagal mem-parsing log, Masalah kredensial konfigurasi, atau Masalah normalisasi. Masalah yang dinyatakan dapat ditindaklanjuti (misalnya, Auth Salah) atau tidak dapat ditindaklanjuti (misalnya, Internal_error). Jika masalah tidak dapat ditindaklanjuti, tindakan yang disarankan adalah membuka kasus dukungan dengan Google SecOps. Jika tidak ada masalah dalam jangka waktu yang ditentukan, nilainya kosong atau menampilkan OK.
    • Durasi Masalah: Jumlah hari sumber data berada dalam status gagal. Jika Status adalah Sehat, nilainya kosong atau menampilkan T/A.
    • Terakhir Dikumpulkan: Stempel waktu pengumpulan data terakhir.
    • Terakhir Diserap: Stempel waktu penyerapan terakhir yang berhasil. Gunakan metrik ini untuk mengidentifikasi apakah log Anda mencapai Google SecOps atau tidak.
    • Konfigurasi Terakhir Diperbarui: Stempel waktu perubahan terakhir pada metrik. Gunakan nilai ini untuk mengorelasikan pembaruan konfigurasi dengan kegagalan yang diamati, sehingga membantu Anda menentukan penyebab utama masalah penyerapan atau masalah parsing.
    • Lihat Detail Penyerapan: Link yang membuka tab baru dengan dasbor lain, yang berisi informasi historis tambahan—untuk analisis yang lebih mendalam.
    • Edit Sumber Data: Link yang membuka tab baru dengan konfigurasi feed yang sesuai—tempat Anda dapat memperbaiki kegagalan terkait konfigurasi.
    • Siapkan Pemberitahuan: Link yang membuka tab baru dengan antarmuka Cloud Monitoring yang sesuai.

  • Tabel Status Kesehatan menurut Parser—mencakup kolom berikut:

    • Status: Status kumulatif jenis log (Sehat atau Gagal).
    • Rasio Kegagalan Parsing: Persentase log dari jenis yang sesuai yang tidak di-parsing.
    • Jenis Log: Jenis log—misalnya, DNS, USER, GENERIC, AZURE_AD, BIND_DNS, GCP SECURITYCENTER THREAT, atau WEBPROXY.
    • Detail Masalah Terbaru: Detail tentang masalah parsing terbaru dalam jangka waktu yang ditentukan—misalnya, Log parsing gagal, Masalah kredensial konfigurasi, atau Masalah normalisasi. Masalah yang dinyatakan dapat ditindaklanjuti (misalnya, Auth Salah) atau tidak dapat ditindaklanjuti (misalnya, Internal_error). Jika masalah tidak dapat ditindaklanjuti, tindakan yang disarankan adalah membuka kasus dukungan dengan Google SecOps. Jika tidak ada masalah dalam jangka waktu yang ditentukan, nilainya kosong atau menampilkan OK.
    • Durasi Masalah: Jumlah hari sumber data berada dalam status gagal. Jika Status adalah Sehat, nilainya kosong.
    • Terakhir Diserap: Stempel waktu penyerapan terakhir yang berhasil. Anda dapat menggunakan metrik ini untuk menentukan apakah log mencapai Google SecOps.

    • Waktu Peristiwa Terakhir: Stempel waktu peristiwa dari log yang terakhir dinormalisasi.

    • Terakhir Dinormalisasi: Stempel waktu tindakan penguraian dan normalisasi terakhir untuk jenis log. Anda dapat menggunakan metrik ini untuk menentukan apakah log mentah berhasil diubah menjadi peristiwa UDM.

    • Konfigurasi Terakhir Diperbarui: Stempel waktu perubahan terakhir pada metrik. Gunakan nilai ini untuk mengorelasikan pembaruan konfigurasi dengan kegagalan yang diamati, sehingga membantu Anda menentukan penyebab utama masalah penyerapan atau masalah parsing.

    • Lihat Detail Parsing: Link yang membuka tab baru dengan dasbor lain, yang berisi informasi historis tambahan—untuk analisis yang lebih mendalam.

    • Edit Parser: Link, yang membuka tab baru dengan konfigurasi parser yang sesuai—tempat Anda dapat memperbaiki kegagalan terkait konfigurasi.

    • Siapkan Pemberitahuan: Link, yang membuka tab baru dengan antarmuka Cloud Monitoring yang sesuai.

Mesin deteksi ketidakberaturan

Health Hub menggunakan mesin deteksi anomali Google SecOps untuk mengidentifikasi perubahan signifikan dalam data Anda secara otomatis, sehingga Anda dapat mendeteksi dan mengatasi potensi masalah dengan cepat.

Deteksi ketidakberaturan penyerapan data

SecOps Google menganalisis perubahan volume harian, sambil mempertimbangkan pola mingguan normal.

Mesin deteksi ketidakberaturan menggunakan perhitungan berikut untuk mendeteksi lonjakan atau penurunan yang tidak biasa dalam penyerapan data Anda:

  • Perbandingan harian dan mingguan: Google SecOps menghitung perbedaan volume penyerapan antara hari ini dan hari sebelumnya, serta perbedaan antara hari ini dan volume rata-rata selama seminggu terakhir.

  • Standardisasi: Untuk memahami signifikansi perubahan ini, Google SecOps menstandardisasinya menggunakan rumus skor z berikut:

    z = (xi − x_bar) / stdev

    di mana

    • z adalah skor standar (atau skor z) untuk perbedaan individu
    • xi adalah nilai perbedaan individu
    • x_bar adalah rata-rata perbedaan
    • stdev adalah simpangan baku selisih

  • Penandaan ketidakberaturan: Google SecOps menandai ketidakberaturan jika perubahan standar harian dan mingguan signifikan secara statistik. Secara khusus, Google SecOps menelusuri:

    • Penurunan: Perbedaan standar harian dan mingguan kurang dari -1,645.
    • Lonjakan: Perbedaan standar harian dan mingguan lebih besar dari 1,645.

Rasio normalisasi

Saat menghitung rasio peristiwa yang diserap terhadap peristiwa yang dinormalisasi, mesin deteksi ketidakberaturan menggunakan pendekatan gabungan untuk memastikan bahwa hanya penurunan signifikan dalam rasio normalisasi yang ditandai. Mesin deteksi ketidakberaturan menghasilkan pemberitahuan hanya jika dua kondisi berikut terpenuhi:

  • Ada penurunan rasio normalisasi yang signifikan secara statistik dibandingkan hari sebelumnya.
  • Penurunan ini juga signifikan dalam istilah absolut, dengan besaran 0,05 atau lebih.

Deteksi ketidakberaturan error penguraian

Untuk error yang terjadi selama penguraian data, mesin deteksi ketidakberaturan menggunakan metode berbasis rasio. Mesin deteksi ketidakberaturan memicu pemberitahuan jika proporsi error parser relatif terhadap jumlah total peristiwa yang diserap meningkat sebesar 5 poin persentase atau lebih dibandingkan dengan hari sebelumnya.

Langkah berikutnya

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.