配置 Bindplane 以进行静默主机监控
支持的语言:
Google SecOps
SIEM
借助 Google Security Operations Silent Host Monitoring,您可以使用 Google Cloud Monitoring 为提取速率变化创建提醒。它会针对每个收集器生成提醒,并在提取速率低于您定义的阈值时通知您,表明收集器可能停止运行。此功能适用于 gRPC API。
前提条件
本指南假设您已使用 Google SecOps 标准化处理器。
配置 Bindplane 以进行静默主机监控
如需为静默主机监控启用 Bindplane,请在日志条目中将收集器服务器的主机名作为属性发送。
- 在日志标签页上,依次选择处理器 > 添加处理器 > 复制字段。
- 配置 Copy Field 处理器:
- 输入资源的简短说明。
- 选择
Logs
遥测类型。 - 将
Copy From
字段设置为Resources
。 - 将
Resource field
字段设置为host.name
。 - 将
Copy To field
字段设置为Attributes
。 - 将
Attributes Field
字段设置为chronicle_ingestion_label["ingestion_source"]
。
Google Cloud Monitoring 阈值
根据需要设置阈值:
- 如果阈值非常低,则表示收集器可能已停止运行,系统会发出提醒。
- 如果阈值非常高,则表示可能存在来源收集问题。
我们建议您监控 Chronicle Collector > Ingestion > Total Ingestion Log Count 指标。
如需查看详细的设置说明,请参阅设置示例政策以检测静默 Google SecOps 转发器。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。