サイレント ホスト モニタリング用に Bindplane を構成する
以下でサポートされています。
Google SecOps
SIEM
Google Security Operations Silent Host Monitoring を使用すると、Google Cloud Monitoring を使用して取り込み率の変化に関するアラートを作成できます。コレクタごとにアラートを生成し、取り込み率が定義されたしきい値を下回った場合に通知して、コレクタの停止の可能性を示します。この機能は gRPC API で動作します。
前提条件
このガイドは、Google SecOps 標準化プロセッサをすでに使用していることを前提としています。
サイレント ホスト モニタリング用に Bindplane を構成する
サイレント ホスト モニタリングで Bindplane を有効にするには、コレクタ サーバーのホスト名をログエントリ内の属性として送信します。
- [ログ] タブで、[プロセッサ] > [プロセッサを追加] > [フィールドをコピー] を選択します。
- Copy Field プロセッサを構成します。
- リソースの簡単な説明を入力します。
Logs
テレメトリー タイプを選択します。Copy From
フィールドをResources
に設定します。Resource field
フィールドをhost.name
に設定します。Copy To field
フィールドをAttributes
に設定します。Attributes Field
フィールドをchronicle_ingestion_label["ingestion_source"]
に設定します。
Google Cloud Monitoring のしきい値
ニーズに応じてしきい値を設定します。
- しきい値が非常に低い場合は、コレクタがダウンする可能性があるときにアラートが送信されます。
- しきい値が非常に高い場合は、ソース収集の問題が発生している可能性があります。
[Chronicle Collector] > [取り込み] > [取り込まれた合計ログ数] 指標をモニタリングすることをおすすめします。
設定手順の詳細については、サンプル ポリシーを設定してサイレント Google SecOps フォワーダーを検出するをご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。