Configurar o Bindplane para monitoramento silencioso de hosts
Com o monitoramento silencioso de hosts do Google Security Operations, é possível criar alertas para mudanças na taxa de ingestão usando o Google Cloud Monitoring. Ele gera alertas por coletor e notifica você quando a taxa de ingestão fica abaixo do limite definido, sinalizando possíveis interrupções do coletor. Esse recurso funciona com a API gRPC.
Pré-requisitos
Neste guia, pressupomos que você já use um processador de padronização do Google SecOps.
Configurar o Bindplane para monitoramento silencioso de hosts
Para ativar o Bindplane para o monitoramento silencioso de hosts, envie o nome do host do servidor coletor como um atributo na entrada de registro.
- Na guia Registro, selecione Processadores > Adicionar processadores > Copiar campo.
- Configure o processador Copiar campo:
- Insira uma breve descrição para o recurso.
- Escolha o tipo de telemetria
Logs
. - Defina o campo
Copy From
comoResources
- Defina o campo
Resource field
comohost.name
- Defina o campo
Copy To field
comoAttributes
- Defina o campo
Attributes Field
comochronicle_ingestion_label["ingestion_source"]
Limite do Google Cloud Monitoring
Defina o limite de acordo com suas necessidades:
- Um limite muito baixo alerta quando o coletor pode estar inativo.
- Um limite muito alto indica possíveis problemas na coleta de origem.
Recomendamos monitorar a métrica Chronicle Collector > Ingestão > Total Ingestion Log Count.
Para instruções detalhadas de configuração, consulte Configurar uma política de amostra para detectar encaminhadores silenciosos do Google SecOps.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.