Configurer Bindplane pour la surveillance silencieuse des hôtes

Compatible avec :

La surveillance silencieuse des hôtes Google Security Operations vous permet de créer des alertes pour les variations du taux d'ingestion à l'aide de Google Cloud Monitoring. Il génère des alertes par collecteur et vous avertit lorsque le taux d'ingestion est inférieur au seuil que vous avez défini, ce qui indique un arrêt potentiel du collecteur. Cette fonctionnalité est compatible avec l'API gRPC.

Prérequis

Ce guide suppose que vous utilisez déjà un processeur de standardisation Google SecOps.

Configurer Bindplane pour la surveillance silencieuse des hôtes

Pour activer Bindplane pour la surveillance silencieuse de l'hôte, envoyez le nom d'hôte du serveur du collecteur en tant qu'attribut dans l'entrée de journal.

  1. Dans l'onglet Journal, sélectionnez Processeurs > Ajouter des processeurs > Copier le champ.
  2. Configurez le processeur Copier le champ :
    • Saisissez une brève description de la ressource.
    • Choisissez le type de télémétrie Logs.
    • Définissez le champ Copy From sur Resources.
    • Définissez le champ Resource field sur host.name.
    • Définissez le champ Copy To field sur Attributes.
    • Définissez le champ Attributes Field sur chronicle_ingestion_label["ingestion_source"].

Seuil Google Cloud Monitoring

Définissez le seuil selon vos besoins :

  • Un seuil très bas vous alerte lorsque le collecteur est susceptible d'être hors service.
  • Un seuil très élevé indique des problèmes potentiels de collecte de sources.

Nous vous recommandons de surveiller la métrique Chronicle Collector > Ingestion > Nombre total de journaux d'ingestion.

Pour obtenir des instructions de configuration détaillées, consultez Configurer un exemple de règle pour détecter les redirecteurs Google SecOps silencieux.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.