Bindplane für das stille Host-Monitoring konfigurieren

Unterstützt in:

Mit Google Security Operations Silent Host Monitoring können Sie mit Google Cloud Monitoring Benachrichtigungen für Änderungen der Aufnahmerate erstellen. Es werden Benachrichtigungen pro Collector generiert und Sie werden benachrichtigt, wenn die Erfassungsrate unter den von Ihnen definierten Grenzwert fällt. Dies kann auf einen möglichen Collector-Stopp hinweisen. Diese Funktion ist mit der gRPC API kompatibel.

Vorbereitung

In diesem Leitfaden wird davon ausgegangen, dass Sie bereits einen Google SecOps Standardization-Prozessor verwenden.

Bindplane für das stille Host-Monitoring konfigurieren

Wenn Sie Bindplane für das Silent Host Monitoring aktivieren möchten, senden Sie den Hostnamen des Collector-Servers als Attribut im Logeintrag.

  1. Wählen Sie auf dem Tab Log die Optionen Processors > Add Processors > Copy Field aus.
  2. Konfigurieren Sie den Prozessor Feld kopieren:
    • Geben Sie eine kurze Beschreibung für die Ressource ein.
    • Wählen Sie den Telemetrietyp Logs aus.
    • Setzen Sie das Feld Copy From auf Resources.
    • Setzen Sie das Feld Resource field auf host.name.
    • Setzen Sie das Feld Copy To field auf Attributes.
    • Setzen Sie das Feld Attributes Field auf chronicle_ingestion_label["ingestion_source"].

Google Cloud Monitoring-Schwellenwert

Legen Sie den Grenzwert entsprechend Ihren Anforderungen fest:

  • Bei einem sehr niedrigen Grenzwert werden Sie benachrichtigt, wenn der Collector möglicherweise nicht mehr funktioniert.
  • Ein sehr hoher Schwellenwert deutet auf potenzielle Probleme bei der Quellenerfassung hin.

Wir empfehlen, den Messwert Chronicle Collector > Ingestion > Total Ingestion Log Count (Chronicle Collector > Aufnahme > Gesamtzahl der Aufnahmeprotokolle) im Blick zu behalten.

Eine detaillierte Anleitung zur Einrichtung finden Sie unter Beispielrichtlinie zum Erkennen von Google SecOps-Forwardern im Hintergrund einrichten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten