Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di Cloud Monitoring per le notifiche di importazione

Supportato in:

Google SecOps SIEM

Questo documento descrive come utilizzare Cloud Monitoring per ricevere notifiche di importazione. Google SecOps utilizza Cloud Monitoring per inviare le notifiche di importazione. Utilizzando questa funzionalità, puoi risolvere i problemi in modo proattivo. Puoi integrare le notifiche via email nei flussi di lavoro esistenti. Le notifiche vengono attivate quando i valori di importazione raggiungono determinati livelli predefiniti. Nella documentazione di Cloud Monitoring, le notifiche sono chiamate avvisi.

Prima di iniziare

Assicurati di avere familiarità con Cloud Monitoring.
Configura un progetto Google Cloud per Google SecOps.
Assicurati che il tuo ruolo Identity and Access Management includa le autorizzazioni nel ruolo roles/monitoring.alertPolicyEditor. Per ulteriori informazioni sui ruoli, vedi Controllo dell'accesso.
Assicurati di conoscere la creazione di criteri di avviso in Cloud Monitoring. Per informazioni su questi passaggi, vedi Creare avvisi.
Configura il canale di notifica come email per ricevere notifiche di importazione. Per informazioni su questi passaggi, vedi Gestire i canali di notifica.

Configurare la notifica di importazione per le metriche di integrità

Per configurare le notifiche che monitorano le metriche relative all'integrità dell'importazione specifiche per Google SecOps:

Nella console Google Cloud, seleziona Monitoraggio.
Nel riquadro di navigazione, seleziona Avvisi e poi fai clic su Crea criterio.
Nella pagina Seleziona una metrica, fai clic su Seleziona una metrica.
Nel menu Seleziona una metrica, fai clic su una delle seguenti opzioni:
- Pulsante di attivazione/disattivazione Attivo per filtrare e visualizzare solo le risorse e le metriche con dati delle ultime 25 ore. Se non la selezioni, vengono elencati tutti i tipi di risorse e metriche.
- Attiva/disattiva A livello di organizzazione/cartella per monitorare risorse e metriche, ad esempio l'utilizzo della quota consumer o l'allocazione di slot BigQuery, per l'organizzazione e le cartelle.
Seleziona una delle seguenti metriche:
- Seleziona Chronicle Collector > Importazione e poi Conteggio totale dei log importati o Dimensione totale dei log importati.
- Seleziona Chronicle Collector > Normalizer, quindi Conteggio totale record o Conteggio totale eventi.
- Seleziona Tipo di log Chronicle > Outofband e poi Conteggio totale dei log importati (feed) o Dimensioni totali dei log importati (feed).
Fai clic su Applica.
Per aggiungere un filtro, nella pagina Seleziona una metrica fai clic su Aggiungi filtro. Nella finestra di dialogo del filtro, seleziona l'etichetta collector_id, un comparatore e il valore del filtro.
- Seleziona uno o più dei seguenti filtri:
  - project_id: l'identificatore del progetto Google Cloud associato a questa risorsa.
  - location: la posizione fisica del cluster che contiene l'oggetto collector. Ti consigliamo di non utilizzare questo campo. Se lasci vuoto questo campo, Google Security Operations può utilizzare le informazioni già in suo possesso per determinare automaticamente dove archiviare i dati.
  - collector_id: l'ID del raccoglitore.
  - log_type: il nome del tipo di log.
  - Etichetta metrica > namespace: lo spazio dei nomi del log.
  - Feed_name: il nome del feed.
  - LogType: il tipo di log.
  - Etichetta metrica > event_type: il tipo di evento determina quali campi vengono inclusi nell'evento. Il tipo di evento include valori come PROCESS_OPEN, FILE_CREATION, USER_CREATION e NETWORK_DNS.
  - Etichetta metrica > state: lo stato finale dell'evento o del log. Lo stato è uno dei seguenti:
    - parsed. Il log è stato analizzato correttamente.
    - validated. Il log è stato convalidato correttamente.
    - failed_parsing. Il log contiene errori di analisi.
    - failed_validation. Il log contiene errori di convalida.
    - failed_indexing. Il log contiene errori di indicizzazione batch.
  - Etichetta metrica > drop_reason_code: questo campo viene compilato se l'origine di importazione è il server di forwarding Google SecOps e indica il motivo per cui un log è stato eliminato durante la normalizzazione.
  - Etichetta metrica > ingestion_source: l'origine di importazione presente nell'etichetta di importazione quando i log vengono importati utilizzando l'API di importazione.
- Seleziona un ID raccoglitore speciale. L'ID del raccoglitore può essere anche un ID inoltra o un ID speciale in base al metodo di importazione.
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: rappresenta tutti i feed creati utilizzando l'API o la pagina di gestione dei feed. Per ulteriori informazioni sulla gestione dei feed, consulta Gestione dei feed e API Feed Management.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: rappresenta tutte le origini di importazione che utilizzano il metodo unstructuredlogentries dell'API di importazione. Per saperne di più sull'API di importazione, consulta l'API di importazione di Google SecOps.
  - cccccccc-cccc-cccc-cccc-cccccccccccc: rappresenta tutte le origini di importazione che utilizzano il metodo udmevents dell'API di importazione.
  - dddddddd-dddd-dddd-dddd-dddddddddddd, rappresenta l'importazione dei log di Google Cloud.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: rappresenta l'ID del raccoglitore utilizzato per CreateEntities.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111: rappresenta l'agente di recupero crediti.
Nella sezione Trasforma i dati, segui questi passaggi:
1. Imposta il campo Aggregazione serie temporali su somma.
2. Imposta il campo Raggruppa per serie temporali su project_id.
(Facoltativo) Configura un criterio di avviso con più condizioni. Per creare notifiche di importazione con più condizioni all'interno di un criterio di avviso, vedi Criteri con più condizioni.

Metriche del forwarder di Google SecOps e filtri associati

La seguente tabella descrive le metriche disponibili per l'inoltro di Google SecOps e i filtri associati.

Metrica di inoltro di Google SecOps	Filtro
Memoria del container utilizzata	`log_type`, `collector_id`
Disco container utilizzato	`log_type`, `collector_id`
Container cpu_used	`log_type`, `collector_id`
Registra drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Configura un criterio di esempio per rilevare gli forwarding silenziosi di Google SecOps

Il seguente criterio di esempio rileva tutti i forwarder Google SecOps e invia avvisi se i forwarder Google SecOps non inviano log per 60 minuti. Questa operazione potrebbe non essere utile per tutti gli forwarding SecOps di Google che vuoi monitorare. Ad esempio, puoi monitorare una singola origine log in una o più Gli utenti che hanno effettuato l'inoltro di Google SecOps con una soglia diversa o escludono gli utenti che hanno effettuato l'inoltro di Google SecOps in base alla loro frequenza di generazione di report.

Nella console Google Cloud, seleziona Monitoring.
Vai a Cloud Monitoring
Fai clic su Crea criterio.
Nella pagina Seleziona una metrica, seleziona Chronicle Collector > Importazione > Conteggio totale dei log importati.
Fai clic su Applica.
Nella sezione Trasforma i dati, segui questi passaggi:
1. Imposta la Finestra temporale continua su 1 ora.
2. Imposta la funzione finestra temporale continua su media.
3. Imposta Aggregazione serie temporali su media.
4. Imposta Raggruppa serie temporali per su collector_id. Se non è impostato il raggruppamento per collector_id, viene attivato un avviso per ogni origine log.
Fai clic su Avanti.
Seleziona Assenza metrica e segui questi passaggi:
1. Imposta Trigger di avviso su Qualsiasi violazione delle serie temporali.
2. Imposta Tempo di assenza trigger su 1 ora.
3. Inserisci un nome per la condizione e fai clic su Avanti.
Nella sezione Notifiche e nome, procedi nel seguente modo:
1. Seleziona un canale di notifica nella casella Usa canale di notifica. Ti consigliamo di configurare più canali di notifica per motivi di ridondanza.
2. Configura le notifiche relative alla chiusura degli incidenti.
3. Imposta le etichette utente del criterio su un livello appropriato. Viene utilizzato per impostare il livello di gravità dell'avviso per un criterio.
4. Inserisci la documentazione che vuoi che venga inviata nell'ambito dell'avviso.
5. Inserisci un nome per il criterio di avviso.

Aggiungere esclusioni a un criterio catch-all

Potrebbe essere necessario escludere alcuni forwarding SecOps di Google da un criterio catch-all perché potrebbero avere volumi di traffico ridotti o richiedere e un criterio di avviso più personalizzato.

Nella console Google Cloud, seleziona Monitoring.
Nella pagina di navigazione, seleziona Avvisi e poi, nella sezione Criteri, seleziona il criterio da modificare.
Nella pagina Dettagli norme, fai clic su Modifica.
Nella pagina Modifica criterio di avviso, nella sezione Aggiungi filtri, seleziona Aggiungi un filtro e segui questi passaggi:
1. Seleziona l'etichetta collector_id e il raccoglitore che vuoi escludere dal criterio.
2. Imposta il criterio di confronto su != e il valore sul valore collector_id che vuoi escludere, quindi fai clic su Fine.
3. Ripeti l'operazione per ogni raccoglitore da escludere. Puoi anche utilizzare un'espressione regolare per escludere più collezionisti con un solo filtro se vuoi utilizzare il seguente formato:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Fai clic su Save Policy (Salva criterio).

Configura un criterio di esempio per rilevare gli agenti di raccolta di Google SecOps silenziosi

Il seguente criterio di esempio rileva tutti gli agenti di raccolta di Google SecOps e invia avvisi se gli agenti di raccolta Google SecOps non inviano log per 60 minuti. Questo esempio potrebbe non essere utile per tutti gli agenti di raccolta di Google SecOps che vuoi monitorare. Ad esempio, puoi monitorare una singola origine log in una o più Agenti di raccolta Google SecOps con una soglia diversa oppure escludi gli agenti di raccolta Google SecOps in base alla loro frequenza di generazione di report.

Nella console Google Cloud, seleziona Monitoring.
Vai a Cloud Monitoring
Fai clic su Crea criterio.
Nella pagina Seleziona una metrica, seleziona Raccogli dati di Chronicle > Agente > Conteggio degli span accettati dall'esportatore.
Fai clic su Applica.
Nella sezione Trasforma i dati, segui questi passaggi:
1. Imposta la Finestra temporale continua su 1 ora.
2. Imposta la funzione finestra temporale continua su media.
3. Imposta Aggregazione serie temporali su media.
4. Imposta Raggruppa serie temporali per su collector_id. Se non è impostato il raggruppamento per collector_id, viene attivato un avviso per ogni origine log.
Fai clic su Avanti.
Seleziona Assenza metrica e segui questi passaggi:
1. Imposta Trigger di avviso su Qualsiasi violazione delle serie temporali.
2. Imposta Tempo di assenza trigger su 1 ora.
3. Inserisci un nome per la condizione e fai clic su Avanti.
Nella sezione Notifiche e nome, procedi nel seguente modo:
1. Seleziona un canale di notifica nella casella Usa canale di notifica. Ti consigliamo di configurare più canali di notifica per motivi di ridondanza.
2. Configura le notifiche relative alla chiusura degli incidenti.
3. Imposta le etichette utente del criterio su un livello appropriato. Viene utilizzato per impostare il livello di gravità dell'avviso per un criterio.
4. Inserisci la documentazione che vuoi che venga inviata nell'ambito dell'avviso.
5. Inserisci un nome per il criterio di avviso.