設定 Bindplane 進行無聲主機監控
支援的國家/地區:
Google SecOps
SIEM
Google Security Operations Silent Host Monitoring 可讓您使用 Google Cloud Monitoring,針對擷取率變化建立快訊。這項功能會為每個收集器產生快訊,並在擷取率低於定義的門檻時通知您,表示收集器可能停止運作。這項功能適用於 gRPC API。
必要條件
本指南假設您已使用 Google SecOps Standardization 處理器。
設定 Bindplane 進行無聲主機監控
如要啟用 Bindplane 的無聲主機監控功能,請在記錄項目中將收集器伺服器的主機名稱做為屬性傳送。
- 在「記錄」分頁中,依序選取「處理器」 >「新增處理器」 >「複製欄位」。
- 設定「複製欄位」處理器:
- 輸入資源的簡短說明。
- 選擇
Logs
遙測類型。 - 將
Copy From
欄位設為Resources
。 - 將
Resource field
欄位設為host.name
。 - 將
Copy To field
欄位設為Attributes
。 - 將
Attributes Field
欄位設為chronicle_ingestion_label["ingestion_source"]
。
Google Cloud Monitoring 閾值
根據需求設定門檻:
- 如果門檻設得非常低,系統會在收集器可能停止運作時發出快訊。
- 如果門檻非常高,表示可能發生來源收集問題。
建議您監控「Chronicle Collector」 >「Ingestion」 >「Total Ingestion Log Count」指標。
如需詳細設定說明,請參閱「設定範例政策,偵測無聲的 Google SecOps 轉寄者」。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。