Utiliser le hub Santé

Compatible avec :

Ce document décrit le Centre de santé, qui est l'emplacement central de Google Security Operations où vous pouvez surveiller l'état et l'intégrité de toutes les sources de données configurées. Le Centre de santé fournit des informations essentielles sur les sources et les types de journaux ayant échoué. Il offre le contexte nécessaire pour diagnostiquer et résoudre les problèmes liés au pipeline de données.

Le Centre de santé inclut des informations sur les éléments suivants :

  • Volumes d'ingestion et état de l'ingestion
  • Volumes d'analyse des journaux bruts en événements UDM (Unified Data Model).
  • Contexte et liens vers des interfaces contenant des informations et des fonctionnalités pertinentes supplémentaires.
  • Sources et types de journaux ayant échoué. Le Centre d'état détecte les échecs pour chaque client.

Principaux avantages

Vous pouvez utiliser Health Hub pour :

  • Surveillez l'état général des données d'un simple coup d'œil. Affichez l'état de santé principal et les métriques associées pour chaque flux, source de données, type de journal et source (c'est-à-dire l'ID du flux).
  • Surveillez les métriques agrégées sur l'état des données pour l'ingestion et l'analyse au fil du temps, avec des événements mis en évidence qui renvoient à des tableaux de bord filtrés.
  • Accédez aux tableaux de bord associés, filtrés par période, type de journal ou flux.
  • Accédez à la configuration du flux pour modifier et résoudre un problème.
  • Accédez à la configuration de l'analyseur pour modifier et résoudre un problème.
  • Cliquez sur le lien Configurer des alertes pour ouvrir l'interface Cloud Monitoring. Ensuite, configurez des alertes personnalisées basées sur l'API à l'aide des métriques État et volume de journaux.

Questions clés

Cette section fait référence aux composants et paramètres de Health Hub, qui sont décrits dans la section Interface.

Vous pouvez utiliser le Centre de santé pour répondre aux questions suivantes sur votre pipeline de données :

  • Quelles ont été les dernières exécutions de mon flux ou les dernières erreurs de mon analyseur ?

    Le Centre de santé comporte un tableau de bord détaillé qui affiche les 200 dernières exécutions de flux et les 200 dernières erreurs d'analyseur pour la ligne spécifique sur laquelle vous cliquez.

  • Mes journaux sont-ils transmis à Google SecOps ?

    Vous pouvez vérifier si les journaux parviennent à Google SecOps à l'aide des métriques Dernière importation et Dernière normalisation. Ces métriques indiquent la dernière fois que les données ont été correctement fournies. De plus, les métriques sur le volume d'ingestion (par source et par type de journal) indiquent la quantité de données ingérées.

  • Mes journaux sont-ils analysés correctement ?

    Pour vérifier que l'analyse est correcte, consultez la métrique Dernière normalisation. Cette métrique indique la date et l'heure de la dernière transformation réussie d'un journal brut en événement UDM.

  • Pourquoi l'ingestion ou l'analyse ne se produisent-elles pas ?

    Le texte de la colonne Détails du dernier problème identifie des problèmes spécifiques, ce qui vous aide à déterminer si l'action est actionnable (vous la corrigez) ou non actionnable (nécessite une assistance). Le texte Interdit 403 : Autorisation refusée est un exemple d'erreur exploitable, où le compte d'authentification fourni dans la configuration du flux ne dispose pas des autorisations requises. Le texte Internal_error est un exemple d'erreur non actionable, où l'action recommandée consiste à ouvrir une demande d'assistance auprès de Google SecOps.

  • Le nombre de journaux ingérés et analysés a-t-il changé de manière significative ?

    Le champ État indique l'état de vos données (OK ou Échec) en fonction du volume de données. Vous pouvez également identifier les pics ou les baisses soudaines ou durables en consultant le graphique Total des journaux ingérés.

  • Comment recevoir des alertes en cas d'échec de mes sources ?

    Le Centre d'état fournit les métriques État et volume de journaux à Cloud Monitoring. Dans l'un des tableaux du Health Hub, cliquez sur le lien Alertes correspondant pour ouvrir l'interface Cloud Monitoring. Vous pouvez y configurer des alertes personnalisées basées sur l'API à l'aide des métriques État et volume de journaux.

  • Comment déduire un retard dans l'ingestion de type journal ?

    Un retard est indiqué lorsque l'heure du dernier événement est nettement antérieure à l'horodatage Dernière importation. th Une valeur élevée suggère un problème de latence dans le pipeline Google SecOps, tandis qu'une valeur normale peut indiquer que la source envoie d'anciennes données.

  • Des modifications récentes apportées à ma configuration ont-elles entraîné des échecs de flux ?

    Si l'horodatage Dernière mise à jour de la configuration est proche de l'horodatage Dernière importation, cela suggère qu'une mise à jour récente de la configuration peut être à l'origine d'un échec. Cette corrélation aide à analyser les causes fondamentales.

  • Comment l'état de l'ingestion et de l'analyse a-t-il évolué au fil du temps ?

    Les graphiques Aperçu de l'état de la source de données, Aperçu de l'état de l'analyse et Nombre total de journaux ingérés affichent l'évolution historique de l'état de vos données, ce qui vous permet d'observer les tendances à long terme.

Interface

Pour ouvrir le Centre d'état, cliquez sur Centre d'état dans le menu de navigation latéral.

La plate-forme Santé est un tableau de bord par défaut en lecture seule qui ne peut pas être modifié directement. Pour le personnaliser, créez une copie du Centre de santé, puis modifiez le tableau de bord dupliqué pour l'adapter à votre cas d'utilisation spécifique.

Le Centre d'informations sur l'état affiche les widgets suivants :

  • Widgets "Gros chiffre" :

    • Sources opérationnelles : nombre de sources de données fonctionnant sans échec.
    • Sources en échec : nombre de sources de données nécessitant une attention immédiate.
    • Analyseurs opérationnels : nombre d'analyseurs fonctionnant sans échec.
    • Analyseurs ayant échoué : nombre d'analyseurs nécessitant une attention immédiate.

  • Présentation de l'état des sources de données : graphique en courbes affichant les courbes Saine et Critique des sources de données par jour au fil du temps.

  • Analyse de l'état de santé : graphique en courbes montrant l'évolution au fil du temps des courbes Sain et Critique des analyseurs par jour.

  • Nombre total de journaux ingérés : graphique en courbes affichant la courbe du nombre de journaux Journaux ingérés par jour au fil du temps.

  • Analyseur en échec par type de journal : graphique en courbes affichant une courbe pour chaque analyseur dont l'état est critique, par jour au fil du temps. Dans ce contexte, l'état de santé critique est dû à un taux de réussite de l'analyse très faible.

  • Tableau État de santé par source de données : inclut les colonnes suivantes :

    • État : état cumulé du flux (OK ou Échec), dérivé du volume de données, des erreurs de configuration et des erreurs d'API.
    • Type de source : type de source (mécanisme d'ingestion), par exemple API d'ingestion, Flux, Ingestion Workspace native ou Flux Azure Event Hub.
    • Nom : nom du flux.
    • Log Type : type de journal (par exemple, CS_EDR, UDM, GCP_CLOUDAUDIT ou WINEVTLOG).
    • Détails du dernier problème : détails du dernier problème survenu au cours de la période spécifiée (par exemple, Échec de l'analyse des journaux, Problème lié aux identifiants de configuration ou Problème de normalisation). Le problème indiqué peut être actionable (par exemple, Incorrect Auth) ou non actionable (par exemple, Internal_error). Si le problème ne nécessite aucune action, l'action recommandée consiste à ouvrir une demande d'assistance auprès de Google SecOps. Si aucun problème n'a été détecté au cours de la période spécifiée, la valeur est vide ou affiche OK.
    • Durée du problème : nombre de jours pendant lesquels la source de données est en état d'échec. Lorsque l'état est OK, la valeur est vide ou affiche N/A.
    • Dernière collecte : code temporel de la dernière collecte de données.
    • Dernière ingestion : code temporel de la dernière ingestion réussie. Utilisez cette métrique pour déterminer si vos journaux parviennent à Google SecOps.
    • Dernière mise à jour de la configuration : code temporel de la dernière modification de la métrique. Utilisez cette valeur pour corréler les mises à jour de configuration avec les échecs observés. Cela vous aidera à déterminer la cause première des problèmes d'ingestion ou d'analyse.
    • Afficher les détails de l'ingestion : lien qui ouvre un nouvel onglet avec un autre tableau de bord contenant des informations historiques supplémentaires pour une analyse plus approfondie.
    • Modifier la source de données : lien qui ouvre un nouvel onglet avec la configuration du flux correspondante, où vous pouvez corriger les échecs liés à la configuration.
    • Configurer des alertes : lien qui ouvre un nouvel onglet avec l'interface Cloud Monitoring correspondante.

  • Tableau État de santé par analyseur : inclut les colonnes suivantes :

    • État : état cumulé du type de journal (OK ou Échec).
    • Taux d'échec de l'analyse : pourcentage de journaux du type correspondant qui n'ont pas été analysés.
    • Type de journal : type de journal (par exemple, DNS, USER, GENERIC, AZURE_AD, BIND_DNS, GCP SECURITYCENTER THREAT ou WEBPROXY).
    • Détails du dernier problème : détails sur le dernier problème d'analyse dans la période spécifiée (par exemple, Échec de l'analyse des journaux, Problème d'identifiants de configuration ou Problème de normalisation). Le problème indiqué peut être actionable (par exemple, Incorrect Auth) ou non actionable (par exemple, Internal_error). Si le problème ne nécessite aucune action, l'action recommandée consiste à ouvrir une demande d'assistance auprès de Google SecOps. Si aucun problème n'a été détecté au cours de la période spécifiée, la valeur est vide ou affiche OK.
    • Durée du problème : nombre de jours pendant lesquels la source de données est en état d'échec. Lorsque l'état est OK, la valeur est vide.
    • Dernière ingestion : code temporel de la dernière ingestion réussie. Vous pouvez utiliser cette métrique pour déterminer si les journaux sont transmis à Google SecOps.

    • Heure du dernier événement : code temporel de l'événement du dernier journal normalisé.

    • Dernière normalisation : code temporel de la dernière action d'analyse et de normalisation pour le type de journal. Vous pouvez utiliser cette métrique pour déterminer si les journaux bruts sont correctement transformés en événements UDM.

    • Dernière mise à jour de la configuration : code temporel de la dernière modification de la métrique. Utilisez cette valeur pour corréler les mises à jour de configuration avec les échecs observés. Cela vous aidera à déterminer la cause première des problèmes d'ingestion ou d'analyse.

    • Afficher les détails de l'analyse : lien qui ouvre un nouvel onglet avec un autre tableau de bord contenant des informations historiques supplémentaires pour une analyse plus approfondie.

    • Modifier l'analyseur : lien qui ouvre un nouvel onglet avec la configuration de l'analyseur correspondante, où vous pouvez corriger les échecs liés à la configuration.

    • Configurer une alerte : lien qui ouvre un nouvel onglet avec l'interface Cloud Monitoring correspondante.

Moteur de détection des irrégularités

Le Centre de données sur l'état de santé utilise le moteur de détection des irrégularités SecOps de Google pour identifier automatiquement les changements importants dans vos données, ce qui vous permet de détecter et de résoudre rapidement les problèmes potentiels.

Détection des irrégularités d'ingestion de données

Google SecOps analyse les variations quotidiennes du volume, tout en tenant compte des tendances hebdomadaires normales.

Le moteur de détection des irrégularités utilise les calculs suivants pour détecter les pics ou les baisses inhabituels dans l'ingestion de vos données :

  • Comparaisons quotidiennes et hebdomadaires : Google SecOps calcule la différence de volume d'ingestion entre le jour actuel et le jour précédent, ainsi que la différence entre le jour actuel et le volume moyen au cours de la semaine écoulée.

  • Normalisation : pour comprendre l'importance de ces modifications, Google SecOps les normalise à l'aide de la formule de score Z suivante :

    z = (xi − x_bar) / stdev

    Où :

    • z est le score standardisé (ou score Z) pour une différence individuelle.
    • xi est une valeur de différence individuelle.
    • x_bar est la moyenne des différences.
    • stdev est l'écart-type des différences.

  • Signalement des irrégularités : Google SecOps signale une irrégularité si les variations standardisées quotidiennes et hebdomadaires sont statistiquement significatives. Plus précisément, Google SecOps recherche les éléments suivants :

    • Baisse : les différences standardisées quotidiennes et hebdomadaires sont inférieures à -1,645.
    • Pics : les différences standardisées quotidiennes et hebdomadaires sont supérieures à 1,645.

Ratio de normalisation

Lors du calcul du ratio entre les événements ingérés et les événements normalisés, le moteur de détection des irrégularités utilise une approche combinée pour s'assurer que seules les baisses importantes des taux de normalisation sont signalées. Le moteur de détection des irrégularités ne génère une alerte que lorsque les deux conditions suivantes sont remplies :

  • Le ratio de normalisation a diminué de manière statistiquement significative par rapport à la veille.
  • La baisse est également significative en termes absolus, avec une magnitude de 0,05 ou plus.

Détection des irrégularités d'erreurs d'analyse

Pour les erreurs qui se produisent lors de l'analyse des données, le moteur de détection des irrégularités utilise une méthode basée sur les ratios. Le moteur de détection des irrégularités déclenche une alerte si la proportion d'erreurs d'analyse par rapport au nombre total d'événements ingérés augmente de 5 points de pourcentage ou plus par rapport à la veille.

Étapes suivantes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.