Configurar o Bindplane para monitoramento silencioso de hosts

Com o monitoramento silencioso de hosts do Google Security Operations, é possível criar alertas para mudanças na taxa de ingestão usando o Google Cloud Monitoring. Ele gera alertas por coletor e notifica você quando a taxa de ingestão fica abaixo do limite definido, sinalizando possíveis interrupções do coletor. Esse recurso funciona com a API gRPC.

Pré-requisitos

Neste guia, pressupomos que você já use um processador de padronização do Google SecOps.

Configurar o Bindplane para monitoramento silencioso de hosts

Para ativar o Bindplane para o monitoramento silencioso de hosts, envie o nome do host do servidor coletor como um atributo na entrada de registro.

1. Na guia Registro, selecione Processadores > Adicionar processadores > Copiar campo.
2. Configure o processador Copiar campo:
   • Insira uma breve descrição para o recurso.
   • Escolha o tipo de telemetria Logs.
   • Defina o campo Copy From como Resources
   • Defina o campo Resource field como host.name
   • Defina o campo Copy To field como Attributes
   • Defina o campo Attributes Field como chronicle_ingestion_label["ingestion_source"]

Limite do Google Cloud Monitoring

Defina o limite de acordo com suas necessidades:

• Um limite muito baixo alerta quando o coletor pode estar inativo.
• Um limite muito alto indica possíveis problemas na coleta de origem.

Recomendamos monitorar a métrica Chronicle Collector > Ingestão > Total Ingestion Log Count.

Para instruções detalhadas de configuração, consulte Configurar uma política de amostra para detectar encaminhadores silenciosos do Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.