Configurare Bindplane per il monitoraggio host silenzioso
Il monitoraggio host silenzioso di Google Security Operations ti consente di creare avvisi per le modifiche alla velocità di importazione utilizzando Google Cloud Monitoring. Genera avvisi per raccoglitore e ti avvisa quando la velocità di importazione scende al di sotto della soglia definita, segnalando potenziali interruzioni del raccoglitore. Questa funzionalità è compatibile con l'API gRPC.
Prerequisiti
Questa guida presuppone che tu utilizzi già un processore di standardizzazione Google SecOps.
Configurare Bindplane per il monitoraggio host silenzioso
Per abilitare Bindplane per il monitoraggio host silenzioso, invia il nome host del server di raccolta come attributo all'interno della voce di log.
- Nella scheda Log, seleziona Processori > Aggiungi processori > Copia campo.
- Configura il processore Copia campo:
- Inserisci una breve descrizione della risorsa.
- Scegli il
Logs
tipo di telemetria. - Imposta il campo
Copy From
suResources
. - Imposta il campo
Resource field
suhost.name
. - Imposta il campo
Copy To field
suAttributes
. - Imposta il campo
Attributes Field
suchronicle_ingestion_label["ingestion_source"]
.
Soglia di Google Cloud Monitoring
Imposta la soglia in base alle tue esigenze:
- Una soglia molto bassa ti avvisa quando il raccoglitore potrebbe non funzionare.
- Una soglia molto elevata indica potenziali problemi di raccolta delle fonti.
Ti consigliamo di monitorare la metrica Chronicle Collector > Ingestion > Total Ingestion Log Count.
Per istruzioni dettagliate sulla configurazione, vedi Configurare un criterio di esempio per rilevare gli inoltratori silenziosi di Google SecOps.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.