設定 Bindplane 進行無聲主機監控

Google Security Operations Silent Host Monitoring 可讓您使用 Google Cloud Monitoring，針對擷取率變化建立快訊。這項功能會為每個收集器產生快訊，並在擷取率低於定義的門檻時通知您，表示收集器可能停止運作。這項功能適用於 gRPC API。

必要條件

本指南假設您已使用 Google SecOps Standardization 處理器。

設定 Bindplane 進行無聲主機監控

如要啟用 Bindplane 的無聲主機監控功能，請在記錄項目中將收集器伺服器的主機名稱做為屬性傳送。

1. 在「記錄」分頁中，依序選取「處理器」 >「新增處理器」 >「複製欄位」。
2. 設定「複製欄位」處理器：
   • 輸入資源的簡短說明。
   • 選擇Logs遙測類型。
   • 將 Copy From 欄位設為 Resources。
   • 將 Resource field 欄位設為 host.name。
   • 將 Copy To field 欄位設為 Attributes。
   • 將 Attributes Field 欄位設為 chronicle_ingestion_label["ingestion_source"]。

Google Cloud Monitoring 閾值

根據需求設定門檻：

• 如果門檻設得非常低，系統會在收集器可能停止運作時發出快訊。
• 如果門檻非常高，表示可能發生來源收集問題。

建議您監控「Chronicle Collector」 >「Ingestion」 >「Total Ingestion Log Count」指標。

如需詳細設定說明，請參閱「設定範例政策，偵測無聲的 Google SecOps 轉寄者」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。