Esta página foi traduzida pela API Cloud Translation.

Usar o Cloud Monitoring para notificações de transferência

Compatível com:

Google SecOps SIEM

Neste documento, descrevemos como usar o Cloud Monitoring para receber notificações de ingestão. O Google SecOps usa o Cloud Monitoring para enviar as notificações de ingestão. Com esse recurso, você pode resolver os problemas de forma proativa. É possível integrar notificações por e-mail aos fluxos de trabalho atuais. As notificações são acionadas quando os valores de transferência chegam a determinados níveis predefinidos. Na documentação do Cloud Monitoring, as notificações são chamadas de alertas.

Antes de começar

Conheça o Cloud Monitoring.
Configure um Google Cloud projeto para o Google SecOps.
Verifique se o papel do Identity and Access Management inclui as permissões do papel roles/monitoring.alertPolicyEditor. Para mais informações sobre papéis, consulte Controle de acesso com o IAM.
Saiba como criar políticas de alertas no Cloud Monitoring. Para saber mais sobre essas etapas, consulte Criar políticas de alertas de limite de métrica.
Configure o canal de notificação para receber notificações de transferência como e-mail. Para saber mais sobre essas etapas, consulte Criar e gerenciar canais de notificação.

Configurar a notificação de transferência para métricas de integridade

Para configurar notificações que monitorem as métricas de integridade de transferência específicas do Google SecOps, faça o seguinte:

No console do Google Cloud, selecione Monitoring:
No painel de navegação, selecione Alertas e clique em Criar política.
Na página Selecionar uma métrica, clique em Selecionar uma métrica.
No menu Selecionar uma métrica, clique em uma das seguintes opções:
- Alternar Ativo para filtrar e mostrar apenas recursos e métricas com dados das últimas 25 horas. Se você não selecionar essa opção, todos os tipos de recursos e métricas serão listados.
- Alternar Nível da organização/pasta para monitorar recursos e métricas, como o uso da cota do consumidor ou a alocação de slots do BigQuery, para sua organização e pastas.
Selecione uma das seguintes métricas:
- Selecione Coletor do Chronicle > Ingestão e selecione Contagem total de registros ingeridos ou Tamanho total de registros ingeridos.
- Selecione Chronicle Collector > Normalizer e Contagem total de registros ou Contagem total de eventos.
- Selecione Chronicle Log Type > Outofband e Total log count (Feeds) ou Total log size (Feeds).
Clique em Aplicar.
Para adicionar um filtro, na página Selecionar uma métrica, clique em Adicionar filtro.

Na caixa de diálogo de filtro, selecione o rótulo collector_id, um comparador e o valor do filtro.
1. Selecione um ou mais dos seguintes filtros:
  - project_id: o identificador do projeto Google Cloud associado a esse recurso.
  - local: o local físico do cluster que contém o objeto do coletor. Recomendamos que você não use esse campo. Se você deixar esse campo em branco, as Operações de segurança do Google poderão usar as informações atuais para determinar automaticamente onde armazenar os dados.
  - collector_id: o ID do coletor.
  - log_type: o nome do tipo de registro.
  - Rótulo da métrica > namespace: o namespace do registro.
  - feed_name: o nome do feed.
  - LogType: o tipo de registro.
  - Rótulo da métrica > event_type: o tipo de evento determina quais campos são incluídos com o evento. O tipo de evento inclui valores como PROCESS_OPEN, FILE_CREATION, USER_CREATION e NETWORK_DNS.
  - Rótulo da métrica > estado: o status final do evento ou registro. O status é um dos seguintes:
    - parsed. O registro foi analisado.
    - validated. O registro foi validado.
    - failed_parsing. O registro tem erros de análise.
    - failed_validation. O registro tem erros de validação.
    - failed_indexing. O registro tem erros de indexação em lote.
  - Identificador da métrica > drop_reason_code: esse campo é preenchido se a origem de transferência for o encaminhador do Google SecOps e indica o motivo pelo qual um registro foi descartado durante a normalização.
  - Rótulo da métrica > ingestion_source: a origem de ingestão presente no rótulo de ingestão quando os registros são ingeridos usando a API Ingestion.
2. Selecione um ID de coletor especial. O collector_id também pode ser um ID de encaminhador ou um ID especial com base no método de transferência:
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa:
    representa todos os feeds criados usando a API ou página Feed Management. Para mais informações sobre o gerenciamento de feeds, consulte Gerenciamento de feeds e API Feed Management.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111:
    representa o agente de cobrança. Isso inclui o BindPlane (edição do Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1112:
    BindPlane Enterprise (edição do Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1113:
    BindPlane Enterprise.
  - aaaa2222-aaaa-2222-aaaa-2222aaaa2222:
    Registros processados pelo método de envio HTTPS. Isso inclui webhooks, Amazon Kinesis Firehose e feeds do tipo de origem Google Cloud Pub/Sub.
  - aaaa3333-aaaa-3333-aaaa-3333aaaa3333:
    representa os registros do Cloud Storage e inclui os registros ingeridos pela Detecção de ameaças de eventos.
  - aaaa4444-aaaa-4444-aaaa-4444aaaa4444:
    Registros processados pela integração do feed do Azure Event Hub. Isso inclui feeds do tipo de origem do Microsoft Azure Event Hub.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb:
    representa todas as origens de ingestão que usam o método unstructuredlogentries da API Ingestion. Para mais informações sobre as APIs Ingestion, consulte a API Ingestion do Google SecOps.
  - cccccccc-cccc-cccc-cccc-cccccccccccc:
    representa todas as origens de transferência que usam o método udmevents da API Ingestion.
  - dddddddd-dddd-dddd-dddd-dddddddddddd:
    representa qualquer registro ingerido pela API interna, que não é pela ingestão de processador OutOfBand (OOB) e não pela ingestão de registro Google Cloud .
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee:
    representa o collector_id usado para CreateEntities.
Na seção Transformar dados, faça o seguinte:
1. Defina o campo Agregação de séries temporais como soma.
2. Defina o campo Agrupar por série temporal como project_id.
Opcional: configure uma política de alerta com várias condições. Para criar notificações de transferência com várias condições em uma política de alerta, consulte Políticas com várias condições.

Métricas do encaminhador do Google SecOps e filtros associados

A tabela a seguir descreve as métricas do encaminhador do Google SecOps disponíveis e os filtros associados.

Métrica do encaminhador do Google SecOps	Filtro
Memória do contêiner usada	`log_type`, `collector_id`
Disco do contêiner usado	`log_type`, `collector_id`
Cpu_used do contêiner	`log_type`, `collector_id`
Registro de drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Configurar uma política de exemplo para detectar encaminhadores silenciosos do Google SecOps

A política de exemplo a seguir detecta todos os encaminhadores do Google SecOps e envia alertas se eles não enviarem registros por 60 minutos. Isso pode não ser útil para todos os encaminhadores do Google SecOps que você quer monitorar. Por exemplo, é possível monitorar uma única origem de registro em um ou vários forwarders do Google SecOps com um limite diferente ou excluir forwarders do Google SecOps com base na frequência de relatórios.

No console do Google Cloud, selecione Monitoring:
Acessar o Cloud Monitoring
Clique em Criar política.
Na página Selecionar uma métrica, selecione Coletor do Chronicle > Ingestão > Contagem total de registros ingeridos.
Clique em Aplicar.
Na seção Transformar dados, faça o seguinte:
1. Defina a Janela contínua para um período de até 1 hora*.
2. Defina a Função de janela contínua como médio.
3. Defina a Agregação de séries temporais como média.
4. Defina o Agrupar séries temporais por como collector_id. Se ele não for definido para agrupar por collector_id, um alerta será acionado para cada origem de registro.
Clique em Próxima.
Selecione Ausência de métrica e faça o seguinte:
1. Defina Gatilho de alerta como Qualquer série temporal viola.
2. Defina o Horário de ausência do gatilho como um período de até uma hora.*
3. Insira um nome para a condição e clique em Próxima.
Na seção Notificações e nome, faça o seguinte:
1. Selecione um canal de notificação no campo Usar canal de notificação. Recomendamos que você configure vários canais de notificação para fins de redundância.
2. Configurar notificações no fechamento de incidentes.
3. Defina os rótulos de usuário da política em um nível adequado. Use essa configuração para definir o nível de gravidade do alerta de uma política.
4. Insira a documentação que você quer enviar como parte do alerta.
5. Insira um nome para a política de alertas.

Adicionar exclusões a uma política de catch-all

Pode ser necessário excluir alguns encaminhadores do Google SecOps de uma política catch-all porque eles podem ter volumes de tráfego baixos ou exigir uma política de alerta mais personalizada.

No console do Google Cloud, selecione Monitoring:
Na página de navegação, selecione Alertas e, na seção Políticas, selecione a política que você quer editar.
Na página Detalhes da política, clique em Editar.
Na página Editar política de alertas, na seção Adicionar filtros, selecione Adicionar um filtro e faça o seguinte:
1. Selecione o identificador collector_id e o coletor que você quer excluir da política.
2. Defina o comparador como != e o valor como o collector_id que você quer excluir e clique em Concluído.
3. Repita para cada coletor que precisa ser excluído. Também é possível usar uma expressão regular para excluir vários coletores com apenas um filtro se você quiser usar o seguinte formato:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Clique em Salvar política.

Configurar uma política de exemplo para detectar agentes de coleta silenciosa do Google SecOps

A política de exemplo a seguir detecta todos os agentes de coleta do Google SecOps e envia alertas se eles não enviarem registros por 60 minutos. Esse exemplo pode não ser útil para todos os agentes de coleta do Google SecOps que você quer monitorar. Por exemplo, é possível monitorar uma única origem de registro em um ou vários agentes de coleta do Google SecOps com um limite diferente ou excluir agentes de coleta do Google SecOps com base na frequência de relatórios.

No console do Google Cloud, selecione Monitoring:
Acessar o Cloud Monitoring
Clique em Criar política.
Na página Selecionar uma métrica, selecione Coletor do Chronicle > Agente > Contagem de spans aceitos pelo exportador.
Clique em Aplicar.
Na seção Transformar dados, faça o seguinte:
1. Defina a Janela contínua como até 1 hora*.
2. Defina a Função de janela contínua como médio.
3. Defina a Agregação de séries temporais como média.
4. Defina o Agrupar séries temporais por como collector_id. Se ele não for definido para agrupar por collector_id, um alerta será acionado para cada origem de registro.
Clique em Próxima.
Selecione Ausência de métrica e faça o seguinte:
1. Defina Gatilho de alerta como Qualquer série temporal viola.
2. Defina o Horário de ausência do acionador como até 1 hora*.
3. Insira um nome para a condição e clique em Próxima.
Na seção Notificações e nome, faça o seguinte:
1. Selecione um canal de notificação no campo Usar canal de notificação. Recomendamos que você configure vários canais de notificação para fins de redundância.
2. Configurar notificações no fechamento de incidentes.
3. Defina os identificadores de usuário da política em um nível adequado. É usado para definir o nível de gravidade do alerta de uma política.
4. Insira qualquer documentação que você queira enviar como parte do alerta.
5. Insira um nome para a política de alertas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.