자동 호스트 모니터링을 위해 Bindplane 구성
다음에서 지원:
Google SecOps
SIEM
Google Security Operations Silent Host Monitoring을 사용하면 Google Cloud Monitoring을 사용하여 수집률 변경에 대한 알림을 만들 수 있습니다. 수집기별로 알림을 생성하고 수집률이 정의된 기준점 아래로 떨어지면 알림을 보내 잠재적인 수집기 중지를 알립니다. 이 기능은 gRPC API와 함께 작동합니다.
기본 요건
이 가이드에서는 이미 Google SecOps 표준화 프로세서를 사용하고 있다고 가정합니다.
자동 호스트 모니터링을 위해 Bindplane 구성
자동 호스트 모니터링을 위해 Bindplane을 사용 설정하려면 수집기 서버의 호스트 이름을 로그 항목 내의 속성으로 전송하세요.
- 로그 탭에서 프로세서 > 프로세서 추가 > 필드 복사를 선택합니다.
- Copy Field 프로세서를 구성합니다.
- 리소스에 대한 간단한 설명을 입력합니다.
Logs
원격 분석 유형을 선택합니다.Copy From
필드를Resources
로 설정합니다.Resource field
필드를host.name
로 설정합니다.Copy To field
필드를Attributes
로 설정합니다.Attributes Field
필드를chronicle_ingestion_label["ingestion_source"]
로 설정합니다.
Google Cloud Monitoring 임계값
필요에 따라 기준점을 설정합니다.
- 매우 낮은 기준점은 수집기가 다운될 수 있는 경우 알림을 보냅니다.
- 매우 높은 기준점은 잠재적인 소스 수집 문제를 나타냅니다.
Chronicle 수집기 > 수집 > 수집된 총 로그 수 측정항목을 모니터링하는 것이 좋습니다.
자세한 설정 안내는 조용한 Google SecOps 전달자를 감지하도록 샘플 정책 설정을 참고하세요.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.