Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Monitoring für Datenaufnahmebenachrichtigungen verwenden

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie mit Cloud Monitoring Benachrichtigungen zur Datenaufnahme erhalten. Google SecOps verwendet Cloud Monitoring, um die Datenaufnahmebenachrichtigungen zu senden. Mit dieser Funktion können Sie die Probleme proaktiv angehen. Sie können E-Mail-Benachrichtigungen in die vorhandenen Workflows einbinden. Benachrichtigungen werden ausgelöst, wenn die Datenaufnahmewerte bestimmte vordefinierte Grenzwerte erreichen. In der Cloud Monitoring-Dokumentation werden Benachrichtigungen als Benachrichtigungen bezeichnet.

Hinweise

Sie sollten mit Cloud Monitoring vertraut sein.
Konfigurieren Sie ein Google Cloud-Projekt für Google SecOps.
Ihre Identity and Access Management-Rolle muss die Berechtigungen der Rolle roles/monitoring.alertPolicyEditor enthalten. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung.
Sie sollten mit dem Erstellen von Benachrichtigungsrichtlinien in Cloud Monitoring vertraut sein. Weitere Informationen zu diesen Schritten finden Sie unter Benachrichtigungen erstellen.
Konfigurieren Sie den Benachrichtigungskanal als E-Mail, um Benachrichtigungen zur Datenaufnahme zu erhalten. Weitere Informationen zu diesen Schritten finden Sie unter Benachrichtigungskanäle verwalten.

Datenaufnahmebenachrichtigung für Gesundheitsmesswerte einrichten

So richten Sie Benachrichtigungen ein, die Messwerte zur Datenaufnahme für Google SecOps überwachen:

Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie im Navigationsbereich Benachrichtigungen und dann Richtlinie erstellen aus.
Klicken Sie auf der Seite Messwert auswählen auf Messwert auswählen.
Klicken Sie im Menü Messwert auswählen auf eine der folgenden Optionen:
- Mit der Ein/Aus-Schaltfläche Aktiv können Sie nur Ressourcen und Messwerte mit Daten aus den letzten 25 Stunden filtern und anzeigen. Wenn Sie diese Option nicht auswählen, werden alle Ressourcen- und Messwerttypen aufgelistet.
- Mit der Option Organisations-/Ordnerebene können Sie Ressourcen und Messwerte wie die Kontingentnutzung von Nutzern oder die BigQuery-Slotzuweisung für Ihre Organisation und Ordner überwachen.
Wählen Sie einen der folgenden Messwerte aus:
- Wählen Sie Chronicle Collector > Datenaufnahme und dann entweder Anzahl der aufgenommenen Protokolle insgesamt oder Größe der aufgenommenen Protokolle insgesamt aus.
- Wählen Sie Chronicle Collector > Normalizer und dann entweder Total record count (Gesamtzahl der Datensätze) oder Total event count (Gesamtzahl der Ereignisse) aus.
- Wählen Sie Chronicle-Protokolltyp > Out-of-Band und dann entweder Aufgenommene Protokollanzahl insgesamt (Feeds) oder Aufgenommene Protokollgröße insgesamt (Feeds) aus.
Klicken Sie auf Anwenden.
Wenn Sie einen Filter hinzufügen möchten, klicken Sie auf der Seite Messwert auswählen auf Filter hinzufügen. Wählen Sie im Filterdialogfeld das Label collector_id, einen Vergleicher und dann den Filterwert aus.
- Wählen Sie einen oder mehrere der folgenden Filter aus:
  - project_id: Die Kennung des Google Cloud-Projekts, das dieser Ressource zugeordnet ist.
  - location: Der physische Standort des Clusters, der das Messgerät enthält. Wir empfehlen, dieses Feld nicht zu verwenden. Wenn Sie dieses Feld leer lassen, kann Google Security Operations bereits vorhandene Informationen verwenden, um automatisch zu bestimmen, wo die Daten gespeichert werden sollen.
  - collector_id: Die ID des Collectors.
  - log_type: Der Name des Logtyps.
  - Messwertlabel > namespace: Der Namespace des Logs.
  - Feed_name: Der Name des Feeds.
  - LogType: Der Logtyp.
  - Messlabel > event_type: Der Ereignistyp bestimmt, welche Felder im Ereignis enthalten sind. Der Ereignistyp umfasst Werte wie PROCESS_OPEN, FILE_CREATION, USER_CREATION und NETWORK_DNS.
  - Messwertlabel > state: Der endgültige Status des Ereignisses oder Logs. Der Status ist einer der folgenden:
    - parsed. Das Protokoll wurde erfolgreich geparst.
    - validated. Das Protokoll wurde erfolgreich validiert.
    - failed_parsing. Das Protokoll enthält Parsingfehler.
    - failed_validation. Das Protokoll enthält Validierungsfehler.
    - failed_indexing. Im Protokoll sind Fehler bei der Batch-Indexierung enthalten.
  - Messlabel > drop_reason_code: Dieses Feld wird ausgefüllt, wenn die Datenaufnahmequelle der Google SecOps-Weiterleiter ist. Es gibt an, warum ein Protokoll während der Normalisierung verworfen wurde.
  - Messwertlabel > Aufnahmequelle: Die Aufnahmequelle, die im Aufnahmelabel vorhanden ist, wenn die Protokolle mit der Aufnahme API aufgenommen werden.
- Wählen Sie eine spezielle Collector-ID aus. Die Collector-ID kann je nach Datenaufnahmemethode auch eine Weiterleiter-ID oder eine spezielle ID sein.
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: Stellt alle Feeds dar, die mit der Feedverwaltungs-API oder -Seite erstellt wurden. Weitere Informationen zur Feedverwaltung finden Sie unter Feedverwaltung und Feedverwaltung API.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: Stellt alle Datenaufnahmequellen dar, die die Methode unstructuredlogentries der Datenaufnahme API verwenden. Weitere Informationen zur Ingestion API finden Sie unter Google SecOps Ingestion API.
  - cccccccc-cccc-cccc-cccc-cccccccccccc: Stellt alle Datenaufnahmequellen dar, die die Methode udmevents der Datenaufnahme-API verwenden.
  - dddddddd-dddd-dddd-dddd-dddddddddddd: Stellt die Google Cloud-Protokollaufnahme dar.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: die Collector-ID, die für CreateEntities verwendet wird.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111: steht für den Erfassungs-Agenten.
Gehen Sie im Bereich Daten transformieren so vor:
1. Legen Sie für das Feld Zeitreihenaggregation die Option Summe fest.
2. Legen Sie für das Feld Zeitreihen gruppieren nach die Option project_id fest.
Optional: Richten Sie eine Benachrichtigungsrichtlinie mit mehreren Bedingungen ein. Informationen zum Erstellen von Datenaufnahmebenachrichtigungen mit mehreren Bedingungen in einer Benachrichtigungsrichtlinie finden Sie unter Richtlinien mit mehreren Bedingungen.

Messwerte und zugehörige Filter für Google SecOps-Weiterleiter

In der folgenden Tabelle werden die verfügbaren Messwerte für Google SecOps-Weiterleitungen und die zugehörigen Filter beschrieben.

Messwert für Google SecOps-Weiterleiter	Filter
Verwendeter Containerspeicher	`log_type`, `collector_id`
Verwendeter Containerlaufwerkspeicher	`log_type`, `collector_id`
Container cpu_used	`log_type`, `collector_id`
„drop_count“ loggen	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Beispielrichtlinie zum Erkennen stummgeschalteter Google SecOps-Weiterleitungen einrichten

Die folgende Beispielrichtlinie erkennt alle Google SecOps-Weiterleitungen und sendet Benachrichtigungen, wenn die Google SecOps-Weiterleitungen 60 Minuten lang keine Protokolle senden. Das ist möglicherweise nicht für alle Google SecOps-Weiterleitungen nützlich, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Protokollquelle über einen oder mehrere Google SecOps-Weiterleiter mit einem anderen Grenzwert überwachen oder Google SecOps-Weiterleiter basierend auf der Häufigkeit der Berichte ausschließen.

Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud Monitoring
Klicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Datenaufnahme > Gesamtzahl der aufgenommenen Protokolle aus.
Klicken Sie auf Anwenden.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
1. Legen Sie für das Rollierende Fenster den Wert „1 Stunde“ fest.
2. Legen Sie als Funktion für rollierendes Zeitfenster die Option Mittelwert fest.
3. Legen Sie für die Zeitreihenaggregation die Option Mittelwert fest.
4. Legen Sie für Zeitreihen gruppieren nach die Option collector_id fest. Wenn diese Option nicht auf „Nach collector_id gruppieren“ festgelegt ist, wird für jede Protokollquelle eine Benachrichtigung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
1. Wählen Sie für Benachrichtigungstrigger die Option Bei jedem Verstoß aus.
2. Legen Sie für Abwesenheitszeit für Trigger eine Stunde fest.
3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:
1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Wir empfehlen, mehrere Benachrichtigungskanäle zur Redundanz zu konfigurieren.
2. Benachrichtigungen beim Schließen von Vorfällen konfigurieren
3. Legen Sie die Labels für Nutzerrichtlinien auf eine geeignete Ebene fest. Damit wird die Schwere der Benachrichtigung für eine Richtlinie festgelegt.
4. Geben Sie alle Dokumente ein, die im Rahmen der Benachrichtigung gesendet werden sollen.
5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.

Ausschlüsse zu einer All-inclusive-Richtlinie hinzufügen

Es kann erforderlich sein, bestimmte Google SecOps-Weiterleiter von einer All-Catch-Richtlinie auszuschließen, da sie möglicherweise nur ein geringes Trafficvolumen haben oder eine benutzerdefiniertere Benachrichtigungsrichtlinie erfordern.

Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie auf der Navigationsseite Benachrichtigungen und dann im Bereich Richtlinien die Richtlinie aus, die Sie bearbeiten möchten.
Klicken Sie auf der Seite Richtliniendetails auf Bearbeiten.
Wählen Sie auf der Seite Benachrichtigungsrichtlinie bearbeiten unter Filter hinzufügen die Option Filter hinzufügen aus und führen Sie die folgenden Schritte aus:
1. Wählen Sie das Label collector_id und den Collector aus, den Sie von der Richtlinie ausschließen möchten.
2. Legen Sie als Vergleicher != und als Wert den collector_id fest, den Sie ausschließen möchten, und klicken Sie dann auf Fertig.
3. Wiederholen Sie diesen Vorgang für jeden Collector, der ausgeschlossen werden soll. Sie können auch einen regulären Ausdruck verwenden, um mehrere Messstationen mit nur einem einzigen Filter auszuschließen. Verwenden Sie dazu das folgende Format:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Klicken Sie auf Save Policy (Richtlinie speichern).

Beispielrichtlinie zum Erkennen stummgeschalteter Google SecOps-Erfassungsagenten einrichten

Die folgende Beispielrichtlinie erkennt alle Google SecOps-Erfassungsagenten und sendet Benachrichtigungen, wenn die Google SecOps-Erfassungsagenten 60 Minuten lang keine Protokolle senden. Dieses Beispiel ist möglicherweise nicht für alle Google SecOps-Erfassungsagenten geeignet, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Protokollquelle über einen oder mehrere Google SecOps-Erfassungsagenten mit einem anderen Grenzwert überwachen oder Google SecOps-Erfassungsagenten basierend auf der Häufigkeit der Berichte ausschließen.

Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud Monitoring
Klicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Agent > Anzahl der vom Exporter akzeptierten Spans aus.
Klicken Sie auf Anwenden.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
1. Legen Sie für das Rollierende Fenster den Wert „1 Stunde“ fest.
2. Legen Sie als Funktion für rollierendes Zeitfenster die Option Mittelwert fest.
3. Legen Sie für die Zeitreihenaggregation die Option Mittelwert fest.
4. Legen Sie für Zeitreihen gruppieren nach die Option collector_id fest. Wenn diese Option nicht auf „Nach collector_id gruppieren“ festgelegt ist, wird für jede Protokollquelle eine Benachrichtigung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
1. Wählen Sie für Benachrichtigungstrigger die Option Bei jedem Verstoß aus.
2. Legen Sie für Abwesenheitszeit für Trigger eine Stunde fest.
3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:
1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Wir empfehlen, mehrere Benachrichtigungskanäle zur Redundanz zu konfigurieren.
2. Benachrichtigungen beim Schließen von Vorfällen konfigurieren
3. Legen Sie die Labels für Nutzerrichtlinien auf eine geeignete Ebene fest. Damit wird die Schwere der Benachrichtigung für eine Richtlinie festgelegt.
4. Geben Sie alle Dokumente ein, die im Rahmen der Benachrichtigung gesendet werden sollen.
5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.