サイレント ホスト モニタリング用に Bindplane を構成する

Google Security Operations Silent Host Monitoring を使用すると、Google Cloud Monitoring を使用して取り込み率の変化に関するアラートを作成できます。コレクタごとにアラートを生成し、取り込み率が定義されたしきい値を下回った場合に通知して、コレクタの停止の可能性を示します。この機能は gRPC API で動作します。

前提条件

このガイドは、Google SecOps 標準化プロセッサをすでに使用していることを前提としています。

サイレント ホスト モニタリング用に Bindplane を構成する

サイレント ホスト モニタリングで Bindplane を有効にするには、コレクタ サーバーのホスト名をログエントリ内の属性として送信します。

1. [ログ] タブで、[プロセッサ] > [プロセッサを追加] > [フィールドをコピー] を選択します。
2. Copy Field プロセッサを構成します。
   • リソースの簡単な説明を入力します。
   • Logs テレメトリー タイプを選択します。
   • Copy From フィールドを Resources に設定します。
   • Resource field フィールドを host.name に設定します。
   • Copy To field フィールドを Attributes に設定します。
   • Attributes Field フィールドを chronicle_ingestion_label["ingestion_source"] に設定します。

Google Cloud Monitoring のしきい値

ニーズに応じてしきい値を設定します。

• しきい値が非常に低い場合は、コレクタがダウンする可能性があるときにアラートが送信されます。
• しきい値が非常に高い場合は、ソース収集の問題が発生している可能性があります。

[Chronicle Collector] > [取り込み] > [取り込まれた合計ログ数] 指標をモニタリングすることをおすすめします。

設定手順の詳細については、サンプル ポリシーを設定してサイレント Google SecOps フォワーダーを検出するをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。