設定 Bindplane 進行無聲主機監控

支援的國家/地區:

Google Security Operations Silent Host Monitoring 可讓您使用 Google Cloud Monitoring,針對擷取率變化建立快訊。這項功能會為每個收集器產生快訊,並在擷取率低於定義的門檻時通知您,表示收集器可能停止運作。這項功能適用於 gRPC API。

必要條件

本指南假設您已使用 Google SecOps Standardization 處理器

設定 Bindplane 進行無聲主機監控

如要啟用 Bindplane 的無聲主機監控功能,請在記錄項目中將收集器伺服器的主機名稱做為屬性傳送。

  1. 在「記錄」分頁中,依序選取「處理器」 >「新增處理器」 >「複製欄位」
  2. 設定「複製欄位」處理器:
    • 輸入資源的簡短說明。
    • 選擇Logs遙測類型。
    • Copy From 欄位設為 Resources
    • Resource field 欄位設為 host.name
    • Copy To field 欄位設為 Attributes
    • Attributes Field 欄位設為 chronicle_ingestion_label["ingestion_source"]

Google Cloud Monitoring 閾值

根據需求設定門檻:

  • 如果門檻設得非常低,系統會在收集器可能停止運作時發出快訊。
  • 如果門檻非常高,表示可能發生來源收集問題。

建議您監控「Chronicle Collector」 >「Ingestion」 >「Total Ingestion Log Count」指標。

如需詳細設定說明,請參閱「設定範例政策,偵測無聲的 Google SecOps 轉寄者」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。