Usar o Hub de saúde

Compatível com:

Este documento descreve o Hub de integridade, que é o local central no Google Security Operations para monitorar o status e a integridade de todas as fontes de dados configuradas. O Hub de integridade fornece informações críticas sobre fontes com falha e tipos de registros, oferecendo o contexto necessário para diagnosticar e corrigir problemas no pipeline de dados.

A Central de saúde inclui informações sobre o seguinte:

  • Volumes e integridade da ingestão.
  • Analisar volumes de registros brutos para eventos do modelo de dados unificado (UDM).
  • Contexto e links para interfaces com mais informações e funcionalidades relevantes.
  • Fontes e tipos de registros com falha. O Hub de integridade detecta falhas por cliente.

Principais vantagens

Você pode usar o Hub de integridade para fazer o seguinte:

  • Monitore a integridade geral dos dados rapidamente. Confira o status de integridade principal e as métricas associadas de cada feed, fonte de dados, tipo de registro e origem (ou seja, o ID do feed).
  • Monitore métricas agregadas de integridade dos dados para ingestão e análise ao longo do tempo com eventos destacados que se vinculam a painéis filtrados.
  • Acessar painéis relacionados, filtrados por período, tipo de registro ou feed.
  • Acesse a configuração do feed para editar e corrigir ou resolver um problema.
  • Acesse a configuração do analisador para editar e corrigir ou resolver um problema.
  • Clique no link Configurar alertas para abrir a interface do Cloud Monitoring e, nela, configure alertas personalizados com base em API usando as métricas de Status e volume de registros.

Principais perguntas

Esta seção se refere aos componentes e parâmetros do Hub de saúde, que são descritos na seção Interface.

Use o Hub de integridade para responder às seguintes perguntas sobre seu pipeline de dados:

  • Quais foram as últimas execuções do meu feed ou os últimos erros do meu analisador?

    O Hub de integridade tem um painel detalhado que mostra as últimas 200 execuções de feed e os últimos 200 erros do analisador da linha específica em que você clicou.

  • Meus registros estão chegando ao Google SecOps?

    Para verificar se os registros estão chegando ao Google SecOps, use as métricas Última ingestão e Última normalização. Essas métricas confirmam a última vez que os dados foram entregues. Além disso, as métricas de volume de ingestão (por origem e por tipo de registro) mostram a quantidade de dados ingeridos.

  • Meus registros estão sendo analisados corretamente?

    Para confirmar a análise correta, consulte a métrica Última normalização. Essa métrica indica quando ocorreu a última transformação bem-sucedida de um registro bruto em um evento da UDM.

  • Por que a ingestão ou a análise não estão acontecendo?

    O texto na coluna Detalhes do problema mais recente identifica problemas específicos, o que ajuda a determinar se a ação é corrigível (você corrige) ou não corrigível (requer suporte). O texto Proibido 403: permissão negada é um exemplo de erro acionável, em que a conta de autenticação fornecida na configuração do feed não tem as permissões necessárias. O texto Internal_error é um exemplo de erro não acionável, em que a ação recomendada é abrir um caso de suporte com o Google SecOps.

  • Há mudanças significativas no número de registros ingeridos e analisados?

    O campo Status mostra a integridade dos seus dados (Íntegro ou Falha) com base no volume de dados. Você também pode identificar aumentos ou quedas repentinas ou contínuas no gráfico Total de registros ingeridos.

  • Como posso receber um alerta se minhas fontes estiverem falhando?

    O Hub de integridade alimenta as métricas de status e volume de registros no Cloud Monitoring. Em uma das tabelas da Central de integridade, clique no link Alertas relevante para abrir a interface do Cloud Monitoring. Lá, você pode configurar alertas personalizados com base em API usando as métricas de Status e volume de registros.

  • Como posso inferir um atraso em uma ingestão do tipo registro?

    Um atraso é indicado quando o Horário do último evento está significativamente atrasado em relação ao carimbo de data/hora Última ingestão. O Hub de integridade expõe o percentil 95th do delta Última ingestãoHorário do último evento por tipo de registro. Um valor alto sugere um problema de latência no pipeline do Google SecOps, enquanto um valor normal pode indicar que a fonte está enviando dados antigos.

  • Mudanças recentes na minha configuração causaram falhas no feed?

    Se o carimbo de data/hora Última atualização da configuração estiver próximo ao carimbo Última ingestão, isso sugere que uma atualização recente da configuração pode ser a causa de uma falha. Essa correlação ajuda na análise da causa raiz.

  • Como a integridade da transferência e da análise tem evoluído ao longo do tempo?

    Os gráficos Visão geral da integridade da fonte de dados, Visão geral da integridade da análise e Total de registros ingeridos mostram a tendência histórica da integridade dos seus dados, permitindo que você observe padrões de longo prazo.

Interface

Para abrir o Health Hub, clique em Health Hub no menu de navegação lateral.

O Hub de integridade é um painel padrão somente leitura e não pode ser modificado diretamente. Para personalizar, crie uma cópia do Hub de integridade e modifique o painel duplicado para seu caso de uso específico.

A Central de integridade mostra os seguintes widgets:

  • Widgets de número grande:

    • Fontes íntegras: o número de fontes de dados que estão funcionando sem falhas.
    • Fontes com falha: o número de fontes de dados que precisam de atenção imediata.
    • Analistas íntegros: o número de analisadores que estão funcionando sem falhas.
    • Analisadores com falha: o número de analisadores que precisam de atenção imediata.

  • Visão geral da integridade da fonte de dados: um gráfico de linhas mostrando as curvas de fontes de dados por dia Saudável e Crítico ao longo do tempo.

  • Análise da visão geral da integridade: um gráfico de linhas mostrando as curvas de Saudável e Crítico de analisadores por dia ao longo do tempo.

  • Total de registros ingeridos: um gráfico de linhas que mostra a curva de registros por dia de Registros ingeridos ao longo do tempo.

  • Falha no analisador por tipo de registro: um gráfico de linhas que mostra uma curva para cada analisador com um status de integridade crítica, por dia ao longo do tempo. Nesse contexto, o status de integridade crítico é devido a uma taxa de sucesso de análise muito baixa.

  • Tabela Status de integridade por fonte de dados: inclui as seguintes colunas:

    • Status: o status cumulativo do feed (Healthy ou Failed), derivado do volume de dados, erros de configuração e erros de API.
    • Tipo de origem: o tipo de origem (mecanismo de ingestão), por exemplo, API de ingestão, Feeds, Ingestão nativa do Workspace ou Feeds do Hub de eventos do Azure.
    • Nome: o nome do feed.
    • Tipo de registro: o tipo de registro, por exemplo, CS_EDR, UDM, GCP_CLOUDAUDIT ou WINEVTLOG.
    • Detalhes do problema mais recente: informações sobre o problema mais recente no período especificado, por exemplo, Falha ao analisar registros, Problema de credencial de configuração ou Problema de normalização. O problema declarado pode ser acionável (por exemplo, Incorrect Auth) ou não acionável (por exemplo, Internal_error). Se o problema não puder ser resolvido, a ação recomendada é abrir um caso de suporte com o Google SecOps. Quando não há problemas no período especificado, o valor fica vazio ou mostra OK.
    • Duração do problema: o número de dias em que a fonte de dados ficou em estado de falha. Quando o Status é Íntegro, o valor fica vazio ou mostra N/A.
    • Última coleta: o carimbo de data/hora da última coleta de dados.
    • Última ingestão: o carimbo de data/hora da última ingestão bem-sucedida. Use essa métrica para identificar se os registros estão chegando ao Google SecOps.
    • Última atualização da configuração: o carimbo de data/hora da última mudança na métrica. Use esse valor para correlacionar atualizações de configuração com falhas observadas, ajudando a determinar a causa raiz de problemas de ingestão ou análise.
    • Ver detalhes da ingestão: um link que abre uma nova guia com outro painel, que contém informações históricas adicionais para uma análise mais detalhada.
    • Editar fonte de dados: um link que abre uma nova guia com a configuração de feed correspondente, onde é possível corrigir falhas relacionadas à configuração.
    • Configurar alertas: um link que abre uma nova guia com a interface correspondente do Cloud Monitoring.

  • Tabela Status de integridade por analisador: inclui as seguintes colunas:

    • Status: o status cumulativo do tipo de registro (Íntegro ou Com falha).
    • Taxa de falha na análise: a porcentagem de registros do tipo correspondente que não foram analisados.
    • Tipo de registro: o tipo de registro, por exemplo, DNS, USER, GENERIC, AZURE_AD, BIND_DNS, GCP SECURITYCENTER THREAT ou WEBPROXY.
    • Detalhes do problema mais recente: os detalhes sobre o problema de análise mais recente no período especificado. Por exemplo, Falha ao analisar registros, Problema de credencial de configuração ou Problema de normalização. O problema declarado pode ser acionável (por exemplo, Incorrect Auth) ou não acionável (por exemplo, Internal_error). Se o problema não puder ser resolvido, a ação recomendada é abrir um caso de suporte com o Google SecOps. Quando não há problemas no período especificado, o valor fica vazio ou mostra OK.
    • Duração do problema: o número de dias em que a fonte de dados ficou em estado de falha. Quando o Status é Normal, o valor fica vazio.
    • Última ingestão: o carimbo de data/hora da última ingestão bem-sucedida. Use essa métrica para determinar se os registros estão chegando ao Google SecOps.

    • Horário do último evento: o carimbo de data/hora do último registro normalizado.

    • Última normalização: o carimbo de data/hora da última ação de análise e normalização do tipo de registro. Use essa métrica para determinar se os registros brutos foram transformados em eventos da UDM.

    • Última atualização da configuração: o carimbo de data/hora da última mudança na métrica. Use esse valor para correlacionar atualizações de configuração com falhas observadas, ajudando a determinar a causa raiz de problemas de ingestão ou análise.

    • Ver detalhes de análise: um link que abre uma nova guia com outro painel, que contém mais informações históricas para uma análise mais detalhada.

    • Editar analisador: um link que abre uma nova guia com a configuração do analisador correspondente, em que é possível corrigir falhas relacionadas à configuração.

    • Configurar alerta: um link que abre uma nova guia com a interface correspondente do Cloud Monitoring.

Mecanismo de detecção de irregularidades

O Hub de integridade usa o mecanismo de detecção de irregularidades do Google SecOps para identificar automaticamente mudanças significativas nos seus dados, permitindo que você detecte e resolva rapidamente possíveis problemas.

Detecção de irregularidades na ingestão de dados

O Google SecOps analisa as mudanças diárias de volume, considerando os padrões semanais normais.

O mecanismo de detecção de irregularidades usa os seguintes cálculos para detectar aumentos ou quedas incomuns na ingestão de dados:

  • Comparações diárias e semanais: o Google SecOps calcula a diferença no volume de ingestão entre o dia atual e o anterior, além da diferença entre o dia atual e o volume médio da semana passada.

  • Padronização: para entender a importância dessas mudanças, o Google SecOps as padroniza usando a seguinte fórmula de escore z:

    z = (xi − x_bar) / stdev

    em que

    • z é a pontuação padronizada (ou z-score) de uma diferença individual.
    • xi é um valor de diferença individual
    • x_bar é a média das diferenças
    • stdev é o desvio padrão das diferenças

  • Detecção de irregularidades: o Google SecOps sinaliza uma irregularidade se as mudanças diárias e semanais padronizadas forem estatisticamente significativas. Especificamente, o Google SecOps procura:

    • Reduções: as diferenças diárias e semanais padronizadas são menores que -1,645.
    • Aumentos: as diferenças diárias e semanais padronizadas são maiores que 1,645.

Proporção de normalização

Ao calcular a proporção de eventos ingeridos para eventos normalizados, o mecanismo de detecção de irregularidades usa uma abordagem combinada para garantir que apenas quedas significativas nas taxas de normalização sejam sinalizadas. O mecanismo de detecção de irregularidades gera um alerta somente quando as duas condições a seguir são atendidas:

  • Há uma queda estatisticamente significativa na proporção de normalização em comparação com o dia anterior.
  • A queda também é significativa em termos absolutos, com uma magnitude de 0,05 ou mais.

Detecção de irregularidades em erros de análise

Para erros que ocorrem durante a análise de dados, o mecanismo de detecção de irregularidades usa um método baseado em proporção. O mecanismo de detecção de irregularidades aciona um alerta se a proporção de erros do analisador em relação ao número total de eventos ingeridos aumentar em 5 pontos percentuais ou mais em comparação com o dia anterior.

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.