Usa el panel de supervisión del estado de los datos"

Se admite en los siguientes sistemas operativos:

En este documento, se describe el panel de Supervisión del estado de los datos, la ubicación central en Google Security Operations para que supervises el estado de todas las fuentes de datos configuradas. El panel proporciona información crítica sobre las fuentes anómalas y los tipos de registros, y ofrece el contexto necesario para diagnosticar y corregir los problemas de la canalización de datos.

El panel de Supervisión del estado de los datos incluye información sobre lo siguiente:

  • Volúmenes y estado de la transferencia
  • Volúmenes de análisis de registros sin procesar en eventos del modelo de datos unificado (UDM)
  • Contexto y vínculos a interfaces con información y funciones relevantes adicionales

  • Fuentes y tipos de registros irregulares y con errores El panel de Supervisión del estado de los datos detecta irregularidades por cliente. Utiliza métodos estadísticos con un período de observación de 30 días para analizar los datos de la transferencia. Los elementos marcados como irregulares identifican aumentos o disminuciones repentinas en los datos que Google SecOps ingiere y procesa.

Ventajas clave

Puedes usar el panel de Supervisión del estado de los datos para hacer lo siguiente:

  • Supervisa el estado general de los datos de un vistazo. Consulta el estado de salud principal y las métricas asociadas de cada feed, fuente de datos, tipo de registro y fuente (es decir, el ID del feed).

  • Supervisa las métricas agregadas de calidad de los datos para lo siguiente:

    • Ingesta y análisis a lo largo del tiempo con eventos destacados (no necesariamente irregularidades) que vinculan a los paneles filtrados.
    • Irregularidades (actuales y a lo largo del tiempo)

  • Accede a los paneles relacionados, filtrados por períodos, tipo de registro o feed.

  • Accede a la configuración del feed para editarlo y corregir o solucionar un problema.

  • Accede a la configuración del analizador para editar y corregir o solucionar un problema.

  • Haz clic en el vínculo Configurar alertas para abrir la interfaz de Cloud Monitoring y, desde allí, configura alertas personalizadas basadas en la API con las métricas de Estado y de volumen de registros.

Preguntas clave

En esta sección, se hace referencia a los componentes y parámetros del panel de Supervisión del estado de los datos, que se describen en la sección Interfaz.

Puedes usar el panel de Supervisión del estado de los datos para responder las siguientes preguntas clave y típicas sobre tu canalización de datos:

  • ¿Mis registros llegan a Google SecOps?

    Puedes verificar si los registros llegan a Google SecOps con las métricas Last Ingested y Last Normalized. Estas métricas confirman la última vez que se entregaron los datos correctamente. Además, las métricas de volumen de transferencia (por fuente y por tipo de registro) muestran la cantidad de datos que se transfieren.

  • ¿Mis registros se analizan correctamente?

    Para confirmar que el análisis es correcto, consulta la métrica Last Normalized. Esta métrica indica cuándo se produjo la última transformación exitosa del registro sin procesar en un evento del UDM.

  • ¿Por qué no se realiza la transferencia o el análisis?

    El texto de la columna Detalles del problema identifica problemas específicos, lo que te ayuda a determinar si la acción es práctica (la corriges tú) o no práctica (requiere asistencia). El texto Forbidden 403: Permission denied es un ejemplo de un error sobre el que se puede tomar una acción, en el que la cuenta de autorización proporcionada en la configuración del feed no tiene los permisos necesarios. El texto Internal_error es un ejemplo de un error no procesable, en el que la acción recomendada es abrir un caso de ayuda con el equipo de SecOps de Google.

  • ¿Hay cambios significativos en la cantidad de registros ingeridos y analizados?

    El campo Estado muestra el estado de tus datos (desde Correcto hasta Error) según el volumen de datos. También puedes identificar aumentos o disminuciones repentinos o sostenidos en el gráfico Registros totales procesados y analizados.

  • ¿Cómo puedo recibir alertas si mis fuentes fallan?

    El panel de Supervisión del estado de los datos incorpora las métricas de Estado y de volumen de registros en Cloud Monitoring. En una de las tablas del panel de Supervisión del estado de los datos, haz clic en el vínculo Alertas pertinente para abrir la interfaz de Cloud Monitoring. Allí, puedes configurar alertas personalizadas basadas en la API con las métricas de Estado y de volumen de registros.

  • ¿Cómo puedo inferir una demora en una transferencia de tipo registro?

    Se indica una demora cuando la Hora del último evento está significativamente atrasada con respecto a la marca de tiempo de Última incorporación. El panel de Supervisión del estado de los datos expone el percentil 95th del delta entre Última incorporación y Hora del último evento por tipo de registro. Un valor alto sugiere un problema de latencia dentro de la canalización de Google SecOps, mientras que un valor normal podría indicar que la fuente está enviando datos antiguos.

  • ¿Los cambios recientes en mi configuración provocaron errores en el feed?

    Si la marca de tiempo de Config Last Updated está cerca de la marca de tiempo de Last Ingested, esto sugiere que una actualización de configuración reciente puede ser la causa de una falla. Esta correlación ayuda en el análisis de la causa raíz.

  • ¿Cómo ha evolucionado la salud de la transferencia y el análisis con el tiempo?

    El gráfico Total de registros ingeridos y analizados muestra la tendencia histórica del estado de tus datos, lo que te permite observar patrones e irregularidades a largo plazo.

Interfaz

En el panel Supervisión del estado de los datos, se muestran los siguientes widgets:

  • Widgets de números grandes:

    • En buen estado: Es la cantidad de fuentes de datos y analizadores que funcionan sin irregularidades.
    • Con errores: Es la cantidad de fuentes de datos que requieren atención inmediata.
    • Irregular: Es la cantidad de fuentes de datos y analizadores irregulares.

  • Total de registros analizados y transferidos: Es un gráfico de líneas que muestra las curvas de registros por día de Registros analizados y Registros transferidos a lo largo del tiempo.

  • Tabla Estado de salud por fuente de datos: Incluye las siguientes columnas:

    • Estado: Es el estado acumulativo del feed (Correcto, Falló o Irregular), que se deriva del volumen de datos, los errores de configuración y los errores de la API.
    • Tipo de fuente: Es el tipo de fuente (mecanismo de transferencia), por ejemplo, API de Ingestion, Feeds, Native Workspace Ingestion o Azure Event Hub Feeds.
    • Nombre: Es el nombre del feed.
    • Tipo de registro: Es el tipo de registro, por ejemplo, CS_EDR, UDM, GCP_CLOUDAUDIT o WINEVTLOG.
    • Detalles del problema: Si hay un problema, la columna muestra detalles, por ejemplo, Error al analizar los registros, Problema con las credenciales de configuración o Problema de normalización. El problema indicado puede ser procesable (por ejemplo, Incorrect Auth) o no procesable (por ejemplo, Internal_error). Si el problema no requiere ninguna acción, la acción recomendada es abrir un caso de ayuda con el equipo de Operaciones de seguridad de Google. Cuando el Estado es En buen estado, el valor está vacío.
    • Duración del problema: Es la cantidad de días que la fuente de datos estuvo en un estado irregular o con errores. Cuando el Estado es En buen estado, el valor está vacío.
    • Last Collected: Es la marca de tiempo de la última recopilación de datos.
    • Última transferencia: Es la marca de tiempo de la última transferencia exitosa. Usa esta métrica para identificar si tus registros llegan a Google SecOps.
    • Config Last Updated: Es la marca de tiempo del último cambio en la métrica. Usa este valor para correlacionar las actualizaciones de configuración con las irregularidades observadas, lo que te ayudará a determinar la causa raíz de los problemas de análisis o de transferencia de datos.
    • View Ingestion Details: Es un vínculo que abre una pestaña nueva con otro panel, que contiene información histórica adicional para un análisis más profundo.
    • Editar fuente de datos: Es un vínculo que abre una pestaña nueva con la configuración del feed correspondiente, en la que puedes corregir las irregularidades relacionadas con la configuración.
    • Configurar alertas: Es un vínculo que abre una pestaña nueva con la interfaz correspondiente de Cloud Monitoring.

  • Tabla Estado de salud por analizador: Incluye las siguientes columnas:

    • Estado: Es el estado acumulativo del tipo de registro (Correcto, Error o Irregular), que se deriva de la proporción de normalización.
    • Nombre: Es el tipo de registro, por ejemplo, DNS, USER, GENERIC, AZURE_AD, BIND_DNS, GCP SECURITYCENTER THREAT o WEBPROXY.
    • Detalles del problema: Si hay un problema, la columna muestra detalles sobre el problema o los problemas de análisis, por ejemplo, No se pudieron analizar los registros, Problema con las credenciales de configuración o Problema de normalización. El problema indicado puede ser procesable (por ejemplo, Incorrect Auth) o no procesable (por ejemplo, Internal_error). Si el problema no requiere ninguna acción, la acción recomendada es abrir un caso de ayuda con el equipo de Operaciones de seguridad de Google. Cuando el Estado es En buen estado, el valor está vacío.
    • Duración del problema: Es la cantidad de días que la fuente de datos estuvo en un estado irregular o con errores. Cuando el Estado es En buen estado, el valor está vacío.
    • Última transferencia: Es la marca de tiempo de la última transferencia exitosa. Puedes usar esta métrica para determinar si los registros llegan a Google SecOps.

    • Hora del último evento: Es la marca de tiempo del evento del último registro normalizado.

    • Last Normalized: Es la marca de tiempo de la última acción de análisis y normalización para el tipo de registro. Puedes usar esta métrica para determinar si los registros sin procesar se transforman correctamente en eventos del UDM.

    • Config Last Updated: Es la marca de tiempo del último cambio en la métrica. Usa este valor para correlacionar las actualizaciones de configuración con las irregularidades observadas, lo que te ayudará a determinar la causa raíz de los problemas de análisis o de transferencia de datos.

    • Ver detalles del análisis: Es un vínculo que abre una pestaña nueva con otro panel, que contiene información histórica adicional para un análisis más profundo.

    • Edit Parser: Es un vínculo que abre una pestaña nueva con la configuración del analizador correspondiente, en la que puedes corregir irregularidades relacionadas con la configuración.

    • Configurar alerta: Es un vínculo que abre una pestaña nueva con la interfaz correspondiente de Cloud Monitoring.

Motor de detección de irregularidades

El panel Supervisión del estado de los datos utiliza el motor de detección de irregularidades de Google SecOps para identificar automáticamente los cambios significativos en tus datos, lo que te permite detectar y abordar rápidamente los posibles problemas.

Detección de irregularidades en la transferencia de datos

Google SecOps analiza los cambios en el volumen diario y tiene en cuenta los patrones semanales normales.

El motor de detección de irregularidades usa los siguientes cálculos para detectar aumentos o disminuciones inusuales en la transferencia de datos:

  • Comparaciones diarias y semanales: Google SecOps calcula la diferencia en el volumen de transferencia entre el día actual y el anterior, y también la diferencia entre el día actual y el volumen promedio de la semana anterior.

  • Estandarización: Para comprender la importancia de estos cambios, Google SecOps los estandariza con la siguiente fórmula de puntuación Z:

    z = (xi − x_bar) / stdev

    donde

    • z es la puntuación estandarizada (o puntuación Z) de una diferencia individual.
    • xi es un valor de diferencia individual.
    • x_bar es la media de las diferencias.
    • stdev es la desviación estándar de las diferencias.

  • Marcado de irregularidades: Google SecOps marca una irregularidad si los cambios estandarizados diarios y semanales son estadísticamente significativos. Específicamente, Google SecOps busca lo siguiente:

    • Drops: Las diferencias estandarizadas diarias y semanales son inferiores a -1.645.
    • Aumentos repentinos: Las diferencias estandarizadas diarias y semanales son mayores que 1.645.

Índice de normalización

Cuando calcula la proporción de eventos procesados en relación con los eventos normalizados, el motor de detección de irregularidades usa un enfoque combinado para garantizar que solo se marquen las disminuciones significativas en las tasas de normalización. El motor de detección de irregularidades genera una alerta solo cuando se cumplen las siguientes dos condiciones:

  • Se produjo una disminución estadísticamente significativa en la proporción de normalización en comparación con el día anterior.
  • La disminución también es significativa en términos absolutos, con una magnitud de 0.05 o más.

Detección de irregularidades en errores de análisis

Para los errores que se producen durante el análisis de datos, el motor de detección de irregularidades usa un método basado en proporciones. El motor de detección de irregularidades activa una alerta si la proporción de errores del analizador en relación con la cantidad total de eventos transferidos aumenta en 5 puntos porcentuales o más en comparación con el día anterior.

¿Qué sigue?

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.