Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Monitoring für Datenaufnahmebenachrichtigungen verwenden

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie mit Cloud Monitoring Benachrichtigungen zur Datenaufnahme erhalten. Google SecOps verwendet Cloud Monitoring, um die Datenaufnahmebenachrichtigungen zu senden. Mit dieser Funktion können Sie Probleme proaktiv angehen. Sie können E-Mail-Benachrichtigungen in vorhandene Workflows einbinden. Benachrichtigungen werden ausgelöst, wenn die Datenaufnahmewerte bestimmte vordefinierte Grenzwerte erreichen. In der Cloud Monitoring-Dokumentation werden Benachrichtigungen als Alarme bezeichnet.

Hinweise

Sie sollten mit Cloud Monitoring vertraut sein.
Konfigurieren Sie ein Google Cloud Projekt für Google SecOps.
Prüfen Sie, ob Ihre Identity and Access Management-Rolle die Berechtigungen der Rolle roles/monitoring.alertPolicyEditor enthält. Weitere Informationen zu Rollen finden Sie unter Zugriff mit IAM steuern.
Machen Sie sich mit dem Erstellen von Benachrichtigungsrichtlinien in Cloud Monitoring vertraut. Weitere Informationen zu diesen Schritten finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.
Konfigurieren Sie den Benachrichtigungskanal so, dass Sie Aufnahmebenachrichtigungen per E-Mail erhalten. Weitere Informationen zu diesen Schritten finden Sie unter Benachrichtigungskanäle erstellen und verwalten.

Benachrichtigung zur Datenaufnahme für Statusmesswerte einrichten

So richten Sie Benachrichtigungen ein, die Messwerte zur Datenaufnahme für Google SecOps überwachen:

Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie im Navigationsbereich Benachrichtigungen und dann Richtlinie erstellen aus.
Klicken Sie auf der Seite Messwert auswählen auf Messwert auswählen.
Klicken Sie im Menü Messwert auswählen auf eine der folgenden Optionen:
- Mit der Ein/Aus-Schaltfläche Aktiv können Sie nur Ressourcen und Messwerte mit Daten aus den letzten 25 Stunden filtern und anzeigen. Wenn Sie diese Option nicht auswählen, werden alle Ressourcen- und Messwerttypen aufgelistet.
- Mit der Option Organisations-/Ordnerebene können Sie Ressourcen und Messwerte wie die Kontingentnutzung von Nutzern oder die BigQuery-Slotzuweisung für Ihre Organisation und Ordner überwachen.
Wählen Sie einen der folgenden Messwerte aus:
- Wählen Sie Chronicle Collector > Datenaufnahme und dann entweder Anzahl der aufgenommenen Protokolle insgesamt oder Größe der aufgenommenen Protokolle insgesamt aus.
- Wählen Sie Chronicle Collector > Normalizer und dann entweder Total record count (Gesamtzahl der Datensätze) oder Total event count (Gesamtzahl der Ereignisse) aus.
- Wählen Sie Chronicle-Protokolltyp > Out-of-Band und dann entweder Aufgenommene Protokollanzahl insgesamt (Feeds) oder Aufgenommene Protokollgröße insgesamt (Feeds) aus.
Klicken Sie auf Übernehmen.
Wenn Sie einen Filter hinzufügen möchten, klicken Sie auf der Seite Messwert auswählen auf Filter hinzufügen.

Wählen Sie im Filterdialogfeld das Label collector_id, einen Vergleicher und den Filterwert aus.
1. Wählen Sie einen oder mehrere der folgenden Filter aus:
  - project_id: Die Kennung des Google Cloud Projekts, das dieser Ressource zugeordnet ist.
  - location: Der physische Standort des Clusters, der das Messgerät enthält. Wir empfehlen, dieses Feld nicht zu verwenden. Wenn Sie dieses Feld leer lassen, kann Google Security Operations anhand vorhandener Informationen automatisch ermitteln, wo die Daten gespeichert werden sollen.
  - collector_id: Die ID des Collectors.
  - log_type: Der Name des Logtyps.
  - Messwertlabel > namespace: Der Namespace des Logs.
  - feed_name: Der Name des Feeds.
  - LogType: Der Logtyp.
  - Messlabel > event_type: Der Ereignistyp bestimmt, welche Felder im Ereignis enthalten sind. Der Ereignistyp umfasst Werte wie PROCESS_OPEN, FILE_CREATION, USER_CREATION und NETWORK_DNS.
  - Messwertlabel > state: Der endgültige Status des Ereignisses oder Logs. Der Status ist einer der folgenden:
    - parsed. Das Protokoll wurde erfolgreich geparst.
    - validated. Das Protokoll wurde erfolgreich validiert.
    - failed_parsing. Das Protokoll enthält Parsingfehler.
    - failed_validation. Das Protokoll enthält Validierungsfehler.
    - failed_indexing. Im Protokoll sind Fehler bei der Batch-Indexierung enthalten.
  - Messlabel > drop_reason_code: Dieses Feld wird ausgefüllt, wenn die Datenaufnahmequelle der Google SecOps-Weiterleiter ist. Es gibt an, warum ein Protokoll während der Normalisierung verworfen wurde.
  - Messwertlabel > Aufnahmequelle: Die Aufnahmequelle, die im Aufnahmelabel enthalten ist, wenn die Protokolle mit der Datenaufnahme API aufgenommen werden.
2. Wählen Sie eine spezielle Collector-ID aus. Die collector_id kann je nach Datenaufnahmemethode auch eine ID des Übertragers oder eine spezielle ID sein:
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa:
    Steht für alle Feeds, die mit der Feedverwaltungs-API oder -Seite erstellt wurden. Weitere Informationen zur Feedverwaltung finden Sie unter Feedverwaltung und Feedverwaltung API.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111:
    Steht für den Inkassobeauftragten. Dazu gehört auch BindPlane (Google-Version).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1112:
    BindPlane Enterprise (Google-Version).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1113:
    BindPlane Enterprise.
  - aaaa2222-aaaa-2222-aaaa-2222aaaa2222:
    Logs, die über die HTTPS-Push-Methode aufgenommen wurden. Dazu gehören Webhooks, Amazon Kinesis Firehose und Google Cloud Pub/Sub-Feeds.
  - aaaa3333-aaaa-3333-aaaa-3333aaaa3333:
    Steht für Cloud Storage-Logs und umfasst Logs, die über die Ereignisbedrohungserkennung aufgenommen wurden.
  - aaaa4444-aaaa-4444-aaaa-4444aaaa4444:
    Protokolle, die über die Azure Event Hub-Feed-Integration aufgenommen wurden. Dazu gehören auch Feeds vom Typ „Microsoft Azure Event Hub-Quelle“.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb:
    Steht für alle Datenaufnahmequellen, die die Methode unstructuredlogentries der Ingestion API verwenden. Weitere Informationen zu Ingestion APIs finden Sie unter Google SecOps Ingestion API.
  - cccccccc-cccc-cccc-cccc-cccccccccccc:
    Steht für alle Datenaufnahmequellen, die die Methode udmevents der Datenaufnahme-API verwenden.
  - dddddddd-dddd-dddd-dddd-dddddddddddd:
    Steht für alle Protokolle, die über die interne API aufgenommen wurden, also nicht über die Aufnahme von OutOfBand-Prozessoren (OOB) und nicht über die Google Cloud Protokollaufnahme.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee:
    Steht für die collector_id, die für CreateEntities verwendet wird.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
1. Legen Sie für das Feld Zeitreihenaggregation die Option Summe fest.
2. Legen Sie für das Feld Zeitreihen gruppieren nach die Option project_id fest.
Optional: Richten Sie eine Benachrichtigungsrichtlinie mit mehreren Bedingungen ein. Informationen zum Erstellen von Datenaufnahmebenachrichtigungen mit mehreren Bedingungen in einer Benachrichtigungsrichtlinie finden Sie unter Richtlinien mit mehreren Bedingungen.

Messwerte und zugehörige Filter für Google SecOps-Weiterleitungen

In der folgenden Tabelle werden die verfügbaren Messwerte für Google SecOps-Weiterleitungen und die zugehörigen Filter beschrieben.

Messwert für Google SecOps-Weiterleiter	Filter
Verwendeter Containerspeicher	`log_type`, `collector_id`
Verwendeter Containerlaufwerkspeicher	`log_type`, `collector_id`
Container cpu_used	`log_type`, `collector_id`
Log drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Beispielrichtlinie zum Erkennen stummgeschalteter Google SecOps-Weiterleitungen einrichten

Die folgende Beispielrichtlinie erkennt alle Google SecOps-Weiterleitungen und sendet Benachrichtigungen, wenn die Google SecOps-Weiterleitungen 60 Minuten lang keine Protokolle senden. Das ist möglicherweise nicht für alle Google SecOps-Weiterleitungen nützlich, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Protokollquelle über einen oder mehrere Google SecOps-Weiterleiter mit einem anderen Grenzwert überwachen oder Google SecOps-Weiterleiter basierend auf der Häufigkeit der Berichte ausschließen.

Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud Monitoring
Klicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Datenaufnahme > Gesamtzahl der aufgenommenen Protokolle aus.
Klicken Sie auf Übernehmen.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
1. Legen Sie für das Rollierende Zeitfenster eine Zeitspanne von bis zu einer Stunde* fest.
2. Legen Sie als Funktion für rollierendes Zeitfenster die Option Mittelwert fest.
3. Legen Sie für die Zeitreihenaggregation die Option Mittelwert fest.
4. Legen Sie für Zeitreihen gruppieren nach die Option collector_id fest. Wenn diese Option nicht auf „Nach collector_id gruppieren“ festgelegt ist, wird für jede Protokollquelle eine Benachrichtigung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
1. Wählen Sie für Benachrichtigungstrigger die Option Bei jedem Verstoß aus.
2. Legen Sie für die Abwesenheitszeit für Trigger eine Zeit von bis zu einer Stunde fest.*
3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:
1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Wir empfehlen, mehrere Benachrichtigungskanäle zur Redundanz zu konfigurieren.
2. Benachrichtigungen beim Schließen von Vorfällen konfigurieren
3. Legen Sie die Labels für Nutzerrichtlinien auf eine geeignete Ebene fest. Mit dieser Einstellung legen Sie die Benachrichtigungsstufe für eine Richtlinie fest.
4. Geben Sie alle Dokumente ein, die Sie im Rahmen der Benachrichtigung senden möchten.
5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.

Ausschlüsse zu einer All-inclusive-Richtlinie hinzufügen

Es kann erforderlich sein, bestimmte Google SecOps-Weiterleiter von einer All-Catch-Richtlinie auszuschließen, da sie möglicherweise nur ein geringes Trafficvolumen haben oder eine benutzerdefiniertere Benachrichtigungsrichtlinie erfordern.

Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie auf der Navigationsseite Benachrichtigungen und dann im Bereich Richtlinien die Richtlinie aus, die Sie bearbeiten möchten.
Klicken Sie auf der Seite Richtliniendetails auf Bearbeiten.
Wählen Sie auf der Seite Benachrichtigungsrichtlinie bearbeiten unter Filter hinzufügen die Option Filter hinzufügen aus und führen Sie die folgenden Schritte aus:
1. Wählen Sie das Label collector_id und den Collector aus, den Sie von der Richtlinie ausschließen möchten.
2. Legen Sie den Vergleichsoperator auf != und den Wert auf den collector_id fest, den Sie ausschließen möchten, und klicken Sie auf Fertig.
3. Wiederholen Sie diesen Vorgang für jeden Collector, der ausgeschlossen werden soll. Sie können auch einen regulären Ausdruck verwenden, um mehrere Messstationen mit nur einem einzigen Filter auszuschließen. Verwenden Sie dazu das folgende Format:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Klicken Sie auf Save Policy (Richtlinie speichern).

Beispielrichtlinie zum Erkennen stummgeschalteter Google SecOps-Erfassungsagenten einrichten

Die folgende Beispielrichtlinie erkennt alle Google SecOps-Erfassungsagenten und sendet Benachrichtigungen, wenn die Google SecOps-Erfassungsagenten 60 Minuten lang keine Protokolle senden. Dieses Beispiel ist möglicherweise nicht für alle Google SecOps-Erfassungsagenten geeignet, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Protokollquelle über einen oder mehrere Google SecOps-Erfassungsagenten mit einem anderen Grenzwert überwachen oder Google SecOps-Erfassungsagenten basierend auf der Häufigkeit der Berichte ausschließen.

Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud Monitoring
Klicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Agent > Anzahl der vom Exporter akzeptierten Spans aus.
Klicken Sie auf Übernehmen.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
1. Legen Sie für das rollierende Zeitfenster einen Wert von bis zu 1 Stunde* fest.
2. Legen Sie als Funktion für rollierendes Zeitfenster die Option Mittelwert fest.
3. Legen Sie für die Zeitreihenaggregation die Option Mittelwert fest.
4. Legen Sie für Zeitreihen gruppieren nach die Option collector_id fest. Wenn diese Option nicht auf „Nach collector_id gruppieren“ festgelegt ist, wird für jede Protokollquelle eine Benachrichtigung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
1. Wählen Sie für Benachrichtigungstrigger die Option Bei jedem Verstoß aus.
2. Legen Sie für die Abwesenheitszeit für Trigger eine Dauer von bis zu einer Stunde* fest.
3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:
1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Wir empfehlen, mehrere Benachrichtigungskanäle zur Redundanz zu konfigurieren.
2. Benachrichtigungen beim Schließen von Vorfällen konfigurieren
3. Legen Sie die Labels für Richtliniennutzer auf eine geeignete Ebene fest. Damit wird die Schwere der Benachrichtigung für eine Richtlinie festgelegt.
4. Geben Sie alle Dokumente ein, die im Rahmen der Benachrichtigung gesendet werden sollen.
5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten