Bindplane für das stille Host-Monitoring konfigurieren
Mit Google Security Operations Silent Host Monitoring können Sie mit Google Cloud Monitoring Benachrichtigungen für Änderungen der Aufnahmerate erstellen. Es werden Benachrichtigungen pro Collector generiert und Sie werden benachrichtigt, wenn die Erfassungsrate unter den von Ihnen definierten Grenzwert fällt. Dies kann auf einen möglichen Collector-Stopp hinweisen. Diese Funktion ist mit der gRPC API kompatibel.
Vorbereitung
In diesem Leitfaden wird davon ausgegangen, dass Sie bereits einen Google SecOps Standardization-Prozessor verwenden.
Bindplane für das stille Host-Monitoring konfigurieren
Wenn Sie Bindplane für das Silent Host Monitoring aktivieren möchten, senden Sie den Hostnamen des Collector-Servers als Attribut im Logeintrag.
- Wählen Sie auf dem Tab Log die Optionen Processors > Add Processors > Copy Field aus.
- Konfigurieren Sie den Prozessor Feld kopieren:
- Geben Sie eine kurze Beschreibung für die Ressource ein.
- Wählen Sie den Telemetrietyp
Logsaus. - Setzen Sie das Feld
Copy FromaufResources. - Setzen Sie das Feld
Resource fieldaufhost.name. - Setzen Sie das Feld
Copy To fieldaufAttributes. - Setzen Sie das Feld
Attributes Fieldaufchronicle_ingestion_label["ingestion_source"].
Google Cloud Monitoring-Schwellenwert
Legen Sie den Grenzwert entsprechend Ihren Anforderungen fest:
- Bei einem sehr niedrigen Grenzwert werden Sie benachrichtigt, wenn der Collector möglicherweise nicht mehr funktioniert.
- Ein sehr hoher Schwellenwert deutet auf potenzielle Probleme bei der Quellenerfassung hin.
Wir empfehlen, den Messwert Chronicle Collector > Ingestion > Total Ingestion Log Count (Chronicle Collector > Aufnahme > Gesamtzahl der Aufnahmeprotokolle) im Blick zu behalten.
Eine detaillierte Anleitung zur Einrichtung finden Sie unter Beispielrichtlinie zum Erkennen von Google SecOps-Forwardern im Hintergrund einrichten.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten