Configura Bindplane para la supervisión silenciosa del host

La supervisión silenciosa de hosts de Google Security Operations te permite crear alertas para los cambios en la tasa de transferencia con Google Cloud Monitoring. Genera alertas por recopilador y te notifica cuando la tasa de transferencia es inferior al umbral definido, lo que indica posibles detenciones del recopilador. Esta función es compatible con la API de gRPC.

Requisitos previos

En esta guía, se supone que ya usas un procesador de estandarización de Google SecOps.

Configura Bindplane para la supervisión silenciosa del host

Para habilitar BindPlane para la supervisión silenciosa de hosts, envía el nombre de host del servidor del recopilador como un atributo dentro de la entrada de registro.

1. En la pestaña Registro, selecciona Procesadores > Agregar procesadores > Copiar campo.
2. Configura el procesador Copy Field de la siguiente manera:
   • Ingresa una descripción breve del recurso.
   • Elige el tipo de telemetría Logs.
   • Configura el campo Copy From como Resources.
   • Configura el campo Resource field como host.name.
   • Configura el campo Copy To field como Attributes.
   • Configura el campo Attributes Field como chronicle_ingestion_label["ingestion_source"].

Umbral de Google Cloud Monitoring

Establece el umbral según tus necesidades:

• Un umbral muy bajo te alerta cuando es posible que el recopilador no esté funcionando.
• Un umbral muy alto indica posibles problemas de recopilación de fuentes.

Te recomendamos que supervises la métrica Chronicle Collector > Ingestion > Total Ingestion Log Count.

Para obtener instrucciones detalladas sobre la configuración, consulta Cómo configurar una política de muestra para detectar reenvíos silenciosos de Google SecOps.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.