Configurare Bindplane per il monitoraggio host silenzioso

Il monitoraggio host silenzioso di Google Security Operations ti consente di creare avvisi per le modifiche alla velocità di importazione utilizzando Google Cloud Monitoring. Genera avvisi per raccoglitore e ti avvisa quando la velocità di importazione scende al di sotto della soglia definita, segnalando potenziali interruzioni del raccoglitore. Questa funzionalità è compatibile con l'API gRPC.

Prerequisiti

Questa guida presuppone che tu utilizzi già un processore di standardizzazione Google SecOps.

Configurare Bindplane per il monitoraggio host silenzioso

Per abilitare Bindplane per il monitoraggio host silenzioso, invia il nome host del server di raccolta come attributo all'interno della voce di log.

1. Nella scheda Log, seleziona Processori > Aggiungi processori > Copia campo.
2. Configura il processore Copia campo:
   • Inserisci una breve descrizione della risorsa.
   • Scegli il Logs tipo di telemetria.
   • Imposta il campo Copy From su Resources.
   • Imposta il campo Resource field su host.name.
   • Imposta il campo Copy To field su Attributes.
   • Imposta il campo Attributes Field su chronicle_ingestion_label["ingestion_source"].

Soglia di Google Cloud Monitoring

Imposta la soglia in base alle tue esigenze:

• Una soglia molto bassa ti avvisa quando il raccoglitore potrebbe non funzionare.
• Una soglia molto elevata indica potenziali problemi di raccolta delle fonti.

Ti consigliamo di monitorare la metrica Chronicle Collector > Ingestion > Total Ingestion Log Count.

Per istruzioni dettagliate sulla configurazione, vedi Configurare un criterio di esempio per rilevare gli inoltratori silenziosi di Google SecOps.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.