Mengonfigurasi Bindplane untuk Pemantauan Host Senyap
Pemantauan Host Senyap Google Security Operations memungkinkan Anda membuat pemberitahuan untuk perubahan kecepatan penyerapan menggunakan Google Cloud Monitoring. Fitur ini menghasilkan pemberitahuan per pengumpul dan memberi tahu Anda saat rasio penyerapan turun di bawah nilai minimum yang ditentukan, yang menandakan potensi pengumpul berhenti. Fitur ini berfungsi dengan gRPC API.
Prasyarat
Panduan ini mengasumsikan bahwa Anda sudah menggunakan Pemroses standarisasi Google SecOps.
Mengonfigurasi Bindplane untuk Pemantauan Host Senyap
Untuk mengaktifkan BindPlane untuk Pemantauan Host Senyap, kirim nama host server pengumpul sebagai atribut dalam entri log.
- Di tab Log, pilih Pemroses > Tambahkan Pemroses > Salin Kolom.
- Konfigurasi pemroses Copy Field:
- Masukkan deskripsi singkat untuk resource.
- Pilih jenis telemetri
Logs
. - Tetapkan kolom
Copy From
keResources
. - Tetapkan kolom
Resource field
kehost.name
. - Tetapkan kolom
Copy To field
keAttributes
. - Tetapkan kolom
Attributes Field
kechronicle_ingestion_label["ingestion_source"]
.
Nilai minimum Google Cloud Monitoring
Tetapkan nilai minimum sesuai kebutuhan Anda:
- Nilai minimum yang sangat rendah akan memberi tahu Anda saat pengumpul mungkin tidak berfungsi.
- Nilai minimum yang sangat tinggi menunjukkan potensi masalah pengumpulan data sumber.
Sebaiknya pantau metrik Chronicle Collector > Ingestion > Total Ingestion Log Count.
Untuk petunjuk penyiapan mendetail, lihat Menyiapkan kebijakan contoh untuk mendeteksi penerusan Google SecOps yang tidak terlihat.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.