Se usó la API de Cloud Translation para traducir esta página.

Usa Cloud Monitoring para las notificaciones de transferencia

Compatible con:

Google SecOps SIEM

En este documento, se describe cómo usar Cloud Monitoring para recibir notificaciones de transferencia. Google SecOps usa Cloud Monitoring para enviar las notificaciones de transferencia. Con esta función, puedes abordar los problemas de forma proactiva. Puedes integrar notificaciones por correo electrónico en los flujos de trabajo existentes. Las notificaciones se activan cuando los valores de transferencia alcanzan ciertos niveles predefinidos. En la documentación de Cloud Monitoring, las notificaciones se denominan alertas.

Antes de comenzar

Familiarízate con Cloud Monitoring.
Configura un Google Cloud proyecto para Google SecOps.
Verifica que tu rol de Identity and Access Management incluya los permisos del rol roles/monitoring.alertPolicyEditor. Para obtener más información sobre los roles, consulta Controla el acceso con IAM.
Familiarízate con la creación de políticas de alertas en Cloud Monitoring. Para obtener información sobre estos pasos, consulta Crea políticas de alertas de límite de métrica.
Configura el canal de notificaciones para recibir notificaciones de transferencia como correo electrónico. Para obtener información sobre estos pasos, consulta Cómo crear y administrar canales de notificaciones.

Configura la notificación de transferencia para las métricas de estado

Para configurar notificaciones que supervisen las métricas de estado de transferencia específicas de Google SecOps, haz lo siguiente:

En la consola de Google Cloud, selecciona Monitoring:
En el panel de navegación, selecciona Alertas y, luego, haz clic en Crear política.
En la página Seleccionar una métrica, haz clic en Seleccionar una métrica.
En el menú Seleccionar una métrica, haz clic en cualquiera de las siguientes opciones:
- Botón de activación Activo para filtrar y mostrar solo los recursos y las métricas con datos de las últimas 25 horas. Si no lo haces, se mostrarán todos los tipos de recursos y métricas.
- Activa el botón de nivel de organización o carpeta para supervisar recursos y métricas, como el uso de cuotas del consumidor o la asignación de ranuras de BigQuery, de tu organización y tus carpetas.
Selecciona cualquiera de las siguientes métricas:
- Selecciona Chronicle Collector > Transferencia y, luego, Cantidad total de registros transferidos o Tamaño total de registros transferidos.
- Selecciona Chronicle Collector > Normalizer y, luego, selecciona Total record count o Total event count.
- Selecciona Tipo de registro de Chronicle > Fuera de banda y, luego, selecciona Cantidad total de registros transferidos (Feeds) o Tamaño total de registros transferidos (Feeds).
Haz clic en Aplicar.
Para agregar un filtro, en la página Seleccionar una métrica, haz clic en Agregar filtro.

En el diálogo del filtro, selecciona la etiqueta collector_id, un comparador y el valor del filtro.
1. Selecciona uno o más de los siguientes filtros:
  - project_id: Es el identificador del Google Cloud proyecto asociado a este recurso.
  - location: Es la ubicación física del clúster que contiene el objeto del recopilador. Te recomendamos que no uses este campo. Si dejas este campo vacío, Google Security Operations puede usar la información existente para determinar automáticamente dónde almacenar los datos.
  - collector_id: Es el ID del recopilador.
  - log_type: Es el nombre del tipo de registro.
  - Etiqueta de métrica > espacio de nombres: Es el espacio de nombres del registro.
  - feed_name: Es el nombre del feed.
  - LogType: Es el tipo de registro.
  - Etiqueta de métrica > event_type: El tipo de evento determina qué campos se incluyen con el evento. El tipo de evento incluye valores como PROCESS_OPEN, FILE_CREATION, USER_CREATION y NETWORK_DNS.
  - Etiqueta de métrica > state: Es el estado final del evento o registro. El estado es uno de los siguientes:
    - parsed. El registro se analiza correctamente.
    - validated. El registro se validó correctamente.
    - failed_parsing. El registro tiene errores de análisis.
    - failed_validation. El registro tiene errores de validación.
    - failed_indexing. El registro tiene errores de indexación por lotes.
  - Etiqueta de métrica > drop_reason_code: Este campo se propaga si la fuente de transferencia es el reenviador de SecOps de Google y indica el motivo por el que se descartó un registro durante la normalización.
  - Etiqueta de métrica > ingestion_source: Es la fuente de transferencia presente en la etiqueta de transferencia cuando los registros se transfieren con la API de transferencia.
2. Selecciona un ID de colector especial. collector_id también puede ser un ID de reenvío o un ID especial según el método de transferencia:
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa:
    Representa todos los feeds creados con la API o la página de administración de feeds. Para obtener más información sobre la administración de feeds, consulta Administración de feeds y API de administración de feeds.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111:
    Representa al agente de recopilación. Esto incluye BindPlane (edición de Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1112:
    BindPlane Enterprise (edición de Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1113:
    BindPlane Enterprise.
  - aaaa2222-aaaa-2222-aaaa-2222aaaa2222:
    Registros transferidos a través del método push de HTTPS. Esto incluye los webhooks, Amazon Kinesis Firehose y los feeds de tipo de fuente de Google Cloud Pub/Sub.
  - aaaa3333-aaaa-3333-aaaa-3333aaaa3333:
    Representa los registros de Cloud Storage y, además, incluye los registros transferidos a través de la Detección de eventos de amenazas.
  - aaaa4444-aaaa-4444-aaaa-4444aaaa4444:
    Registros transferidos a través de la integración del feed de Azure Event Hubs. Esto incluye los feeds de tipo de fuente de Azure Event Hubs.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb:
    Representa todas las fuentes de transferencia que usan el método unstructuredlogentries de la API de transferencia. Para obtener más información sobre las APIs de Ingestion, consulta API de Ingestion de SecOps de Google.
  - cccccccc-cccc-cccc-cccc-cccccccccccc:
    Representa todas las fuentes de transferencia que usan el método udmevents de la API de transferencia.
  - dddddddd-dddd-dddd-dddd-dddddddddddd:
    Representa cualquier registro transferido a través de la API interna, que no es a través de la transferencia del procesador fuera de banda (OOB) ni a través de la transferencia de registros Google Cloud .
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee:
    Representa el collector_id que se usa para CreateEntities.
En la sección Transforma los datos, haz lo siguiente:
1. Establece el campo Agregación de series temporales en suma.
2. Establece el campo Time series group by en project_id.
Opcional: Configura una política de alertas con varias condiciones. Para crear notificaciones de transferencia con varias condiciones dentro de una política de alertas, consulta Políticas con varias condiciones.

Métricas del reenviador de Google SecOps y filtros asociados

En la siguiente tabla, se describen las métricas de reenvío de Google SecOps disponibles y los filtros asociados.

Métrica del reenviador de Google SecOps	Filtro
Memoria del contenedor utilizada	`log_type`, `collector_id`
Uso del disco del contenedor	`log_type`, `collector_id`
cpu_used del contenedor	`log_type`, `collector_id`
Registra drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Configura una política de muestra para detectar reenvío silencioso de Google SecOps

La siguiente política de muestra detecta todos los reenvío de Google SecOps y envía alertas si los reenvío de Google SecOps no envían registros durante 60 minutos. Es posible que esto no sea útil para todos los reenvío de Google SecOps que deseas supervisar. Por ejemplo, puedes supervisar una sola fuente de registro en uno o varios reenvío de Google SecOps con un umbral diferente, o bien excluir los reenvío de Google SecOps según su frecuencia de informes.

En la consola de Google Cloud, selecciona Monitoring:
Ir a Cloud Monitoring
Haz clic en Crear política.
En la página Seleccionar una métrica, selecciona Recopilante de Chronicle > Transferencia > Cantidad total de registros transferidos.
Haz clic en Aplicar.
En la sección Transforma los datos, haz lo siguiente:
1. Establece la ventana progresiva en un tiempo de hasta 1 hora*.
2. Establece la función de ventana progresiva en media.
3. Establece la agregación de series temporales en promedio.
4. Establece Agrupación de las series temporales por en collector_id. Si no se configura para agrupar por collector_id, se activa una alerta para cada fuente de registro.
Haz clic en Siguiente.
Selecciona Ausencia de métrica y haz lo siguiente:
1. Configura Activador de alertas en Cualquier serie temporal es una infracción.
2. Establece el Tiempo de ausencia del activador en un tiempo de hasta 1 hora.*
3. Ingresa un nombre para la condición y haz clic en Siguiente.
En la sección Notificaciones y nombre, haz lo siguiente:
1. Selecciona un canal de notificaciones en el campo Usar el canal de notificaciones. Te recomendamos que configures varios canales de notificaciones con fines de redundancia.
2. Configura notificaciones sobre el cierre de incidentes.
3. Establece las etiquetas de usuario de la política en un nivel adecuado. Usa este parámetro de configuración para establecer el nivel de gravedad de las alertas de una política.
4. Ingresa la documentación que quieras enviar como parte de la alerta.
5. Ingresa un nombre para la política de alertas.

Cómo agregar exclusiones a una política de captura general

Es posible que debas excluir ciertos reenvíos de SecOps de Google de una política de captura general porque pueden tener volúmenes de tráfico bajos o requerir una política de alertas más personalizada.

En la consola de Google Cloud, selecciona Monitoring:
En la página de navegación, selecciona Alertas y, luego, en la sección Políticas, selecciona la política que deseas editar.
En la página Detalles de la política, haz clic en Editar.
En la página Editar política de alertas, en la sección Agregar filtros, selecciona Agregar un filtro y haz lo siguiente:
1. Selecciona la etiqueta collector_id y el colector que deseas excluir de la política.
2. Establece el comparador en != y el valor en el collector_id que deseas excluir, y haz clic en Listo.
3. Repite el proceso para cada recopilador que se deba excluir. También puedes usar una expresión regular para excluir varios recopiladores con un solo filtro si deseas usar el siguiente formato:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Haz clic en Guardar política.

Configura una política de muestra para detectar agentes de recopilación de Google SecOps silenciosos

La siguiente política de muestra detecta todos los agentes de recopilación de Google SecOps y envía alertas si estos no envían registros durante 60 minutos. Es posible que esta muestra no sea útil para todos los agentes de recopilación de SecOps de Google que deseas supervisar. Por ejemplo, puedes supervisar una sola fuente de registro en uno o varios agentes de recopilación de Google SecOps con un umbral diferente, o bien excluir agentes de recopilación de Google SecOps según su frecuencia de informes.

En la consola de Google Cloud, selecciona Monitoring:
Ir a Cloud Monitoring
Haz clic en Crear política.
En la página Selecciona una métrica, selecciona Colector de Chronicle > Agente > Cantidad de intervalos aceptados por el exportador.
Haz clic en Aplicar.
En la sección Transforma los datos, haz lo siguiente:
1. Establece la ventana progresiva en hasta 1 hora*.
2. Establece la función de ventana progresiva en media.
3. Establece la agregación de series temporales en promedio.
4. Establece Agrupación de las series temporales por en collector_id. Si no se configura para agrupar por collector_id, se activa una alerta para cada fuente de registro.
Haz clic en Siguiente.
Selecciona Ausencia de métrica y haz lo siguiente:
1. Configura Activador de alertas en Cualquier serie temporal es una infracción.
2. Establece el Tiempo de ausencia del activador en hasta 1 hora*.
3. Ingresa un nombre para la condición y haz clic en Siguiente.
En la sección Notificaciones y nombre, haz lo siguiente:
1. Selecciona un canal de notificaciones en el campo Usar el canal de notificaciones. Te recomendamos que configures varios canales de notificaciones con fines de redundancia.
2. Configura notificaciones sobre el cierre de incidentes.
3. Establece las etiquetas de usuario de la política en un nivel adecuado. Se usa para establecer el nivel de gravedad de la alerta de una política.
4. Ingresa la documentación que quieras que se envíe como parte de la alerta.
5. Ingresa un nombre para la política de alertas.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.