Mengonfigurasi Bindplane untuk Pemantauan Host Senyap

Didukung di:

Pemantauan Host Senyap Google Security Operations memungkinkan Anda membuat pemberitahuan untuk perubahan kecepatan penyerapan menggunakan Google Cloud Monitoring. Fitur ini menghasilkan pemberitahuan per pengumpul dan memberi tahu Anda saat rasio penyerapan turun di bawah nilai minimum yang ditentukan, yang menandakan potensi pengumpul berhenti. Fitur ini berfungsi dengan gRPC API.

Prasyarat

Panduan ini mengasumsikan bahwa Anda sudah menggunakan Pemroses standarisasi Google SecOps.

Mengonfigurasi Bindplane untuk Pemantauan Host Senyap

Untuk mengaktifkan BindPlane untuk Pemantauan Host Senyap, kirim nama host server pengumpul sebagai atribut dalam entri log.

  1. Di tab Log, pilih Pemroses > Tambahkan Pemroses > Salin Kolom.
  2. Konfigurasi pemroses Copy Field:
    • Masukkan deskripsi singkat untuk resource.
    • Pilih jenis telemetri Logs.
    • Tetapkan kolom Copy From ke Resources.
    • Tetapkan kolom Resource field ke host.name.
    • Tetapkan kolom Copy To field ke Attributes.
    • Tetapkan kolom Attributes Field ke chronicle_ingestion_label["ingestion_source"].

Nilai minimum Google Cloud Monitoring

Tetapkan nilai minimum sesuai kebutuhan Anda:

  • Nilai minimum yang sangat rendah akan memberi tahu Anda saat pengumpul mungkin tidak berfungsi.
  • Nilai minimum yang sangat tinggi menunjukkan potensi masalah pengumpulan data sumber.

Sebaiknya pantau metrik Chronicle Collector > Ingestion > Total Ingestion Log Count.

Untuk petunjuk penyiapan mendetail, lihat Menyiapkan kebijakan contoh untuk mendeteksi penerusan Google SecOps yang tidak terlihat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.