Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Cloud Monitoring untuk notifikasi penyerapan

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menggunakan Cloud Monitoring untuk menerima notifikasi penyerapan. Google SecOps menggunakan Cloud Monitoring untuk mengirim notifikasi penyerapan. Dengan fitur ini, Anda dapat mengatasi masalah secara proaktif. Anda dapat mengintegrasikan notifikasi email ke dalam alur kerja yang ada. Notifikasi dipicu saat nilai penyerapan mencapai tingkat tertentu yang telah ditentukan. Dalam dokumentasi Cloud Monitoring, notifikasi disebut pemberitahuan.

Sebelum memulai

Memahami Cloud Monitoring.
Konfigurasi Google Cloud project untuk Google SecOps.
Pastikan peran Identity and Access Management Anda menyertakan izin dalam peran roles/monitoring.alertPolicyEditor. Untuk mengetahui informasi selengkapnya tentang peran, lihat Mengontrol akses dengan IAM.
Pahami cara membuat kebijakan pemberitahuan di Cloud Monitoring. Untuk informasi tentang langkah-langkah ini, lihat Membuat kebijakan pemberitahuan batas metrik.
Konfigurasikan saluran notifikasi untuk menerima notifikasi penyerapan sebagai email. Untuk informasi tentang langkah-langkah ini, lihat Membuat dan mengelola saluran notifikasi.

Menyiapkan notifikasi penyerapan untuk metrik kesehatan

Untuk menyiapkan notifikasi yang memantau metrik kesehatan proses transfer khusus untuk Google SecOps, lakukan hal berikut:

Di Konsol Google Cloud, pilih Monitoring:
Di panel navigasi, pilih Alerting, lalu klik Create policy.
Di halaman Select a metric, klik Select a metric.
Di menu Pilih metrik, klik salah satu opsi berikut:
- Tombol Aktif untuk memfilter dan hanya menampilkan resource dan metrik dengan data dari 25 jam terakhir. Jika Anda tidak memilihnya, semua jenis resource dan metrik akan dicantumkan.
- Tombol Tingkat organisasi/folder untuk memantau resource dan metrik, seperti penggunaan kuota konsumen atau alokasi slot BigQuery, untuk organisasi dan folder Anda.
Pilih salah satu metrik berikut:
- Pilih Chronicle Collector > Ingestion, lalu pilih Total ingested log count atau Total ingested log size.
- Pilih Chronicle Collector > Normalizer, lalu pilih Total record count atau Total event count.
- Pilih Chronicle Log Type > Outofband, lalu pilih Total ingested log count (Feeds) atau Total ingested log size (Feeds).
Klik Terapkan.
Untuk menambahkan filter, di halaman Pilih metrik, klik Tambahkan Filter.

Di dialog filter, pilih label collector_id, pembanding, dan nilai filter.
1. Pilih satu atau beberapa filter berikut:
  - project_id: ID Google Cloud project yang terkait dengan resource ini.
  - location: Lokasi fisik cluster yang berisi objek kolektor. Sebaiknya Anda tidak menggunakan kolom ini. Jika Anda mengosongkan kolom ini, Google Security Operations dapat menggunakan informasi yang ada untuk menentukan tempat penyimpanan data secara otomatis.
  - collector_id: ID kolektor.
  - log_type: Nama jenis log.
  - Label metrik > namespace: Namespace log.
  - feed_name: Nama feed.
  - LogType: Jenis log.
  - Label metrik > event_type: Jenis peristiwa menentukan kolom yang disertakan dengan peristiwa. Jenis peristiwa mencakup nilai seperti PROCESS_OPEN, FILE_CREATION, USER_CREATION, dan NETWORK_DNS.
  - Label metrik > status: Status akhir peristiwa atau log. Statusnya adalah salah satu dari berikut:
    - parsed. Log berhasil diuraikan.
    - validated. Log berhasil divalidasi.
    - failed_parsing. Log memiliki error penguraian.
    - failed_validation. Log memiliki error validasi.
    - failed_indexing. Log memiliki error pengindeksan batch.
  - Label metrik > drop_reason_code: Kolom ini diisi jika sumber penyerapan adalah penerusan Google SecOps dan menunjukkan alasan log dihapus selama normalisasi.
  - Label metrik > ingestion_source: Sumber transfer yang ada di label transfer saat log ditransfer menggunakan Ingestion API.
2. Pilih ID kolektor khusus. collector_id juga dapat berupa ID pengirim atau ID khusus berdasarkan metode penyerapan:
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa:
    Mewakili semua feed yang dibuat menggunakan halaman atau Feed Management API. Untuk mengetahui informasi selengkapnya tentang pengelolaan feed, lihat Pengelolaan feed dan Feed management API.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111:
    Mewakili agen pengumpulan. Ini termasuk Bindplane (Edisi Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1112:
    Bindplane Enterprise (Edisi Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1113:
    Bindplane Enterprise.
  - aaaa2222-aaaa-2222-aaaa-2222aaaa2222:
    Log yang ditransfer melalui metode Push HTTPS. Hal ini mencakup Webhook, Amazon Kinesis Firehose, dan Google Cloud feed jenis sumber Pub/Sub.
  - aaaa3333-aaaa-3333-aaaa-3333aaaa3333:
    Mewakili log Cloud Storage dan menyertakan log yang ditransfer melalui Event Threat Detection.
  - aaaa4444-aaaa-4444-aaaa-4444aaaa4444:
    Log yang ditransfer melalui integrasi feed Azure Event Hub. Hal ini mencakup feed jenis sumber Microsoft Azure Event Hub.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb:
    Mewakili semua sumber transfer yang menggunakan metode unstructuredlogentries Ingestion API. Untuk mengetahui informasi selengkapnya tentang Ingestion API, lihat Google SecOps Ingestion API.
  - cccccccc-cccc-cccc-cccc-cccccccccccc:
    Mewakili semua sumber transfer yang menggunakan metode udmevents Ingestion API.
  - dddddddd-dddd-dddd-dddd-dddddddddddd:
    Mewakili log apa pun yang diserap melalui API internal, yang bukan melalui penyerapan prosesor OutOfBand (OOB), dan bukan melalui Google Cloud penyerapan log.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee:
    Merepresentasikan collector_id yang digunakan untuk CreateEntities.
Di bagian Transform data, lakukan tindakan berikut:
1. Tetapkan kolom Agregasi deret waktu ke jumlah.
2. Tetapkan kolom Time series group by ke project_id.
Opsional: Siapkan kebijakan pemberitahuan dengan beberapa kondisi. Untuk membuat notifikasi penyerapan dengan beberapa kondisi dalam kebijakan pemberitahuan, lihat Kebijakan dengan beberapa kondisi.

Metrik penerusan Google SecOps dan filter terkait

Tabel berikut menjelaskan metrik forwarder Google SecOps yang tersedia dan filter terkait.

Metrik forwarder Google SecOps	Filter
Memori penampung yang digunakan	`log_type`, `collector_id`
Disk penampung yang digunakan	`log_type`, `collector_id`
cpu_used Container	`log_type`, `collector_id`
Log drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Menyiapkan contoh kebijakan untuk mendeteksi penerusan Google SecOps yang tidak bersuara

Contoh kebijakan berikut mendeteksi semua penerusan Google SecOps dan mengirim pemberitahuan jika penerusan Google SecOps tidak mengirim log selama 60 menit. Hal ini mungkin tidak berguna untuk semua penerusan Google SecOps yang ingin Anda pantau. Misalnya, Anda dapat memantau satu sumber log di satu atau beberapa forwarder Google SecOps dengan nilai minimum yang berbeda atau mengecualikan forwarder Google SecOps berdasarkan frekuensi pelaporan.

Di Konsol Google Cloud, pilih Monitoring:
Buka Cloud Monitoring
Klik Create Policy.
Di halaman Select a metric, pilih Chronicle Collector > Ingestion > Total ingested log count.
Klik Terapkan.
Di bagian Transform data, lakukan tindakan berikut:
1. Tetapkan Rolling window ke waktu hingga 1 jam*.
2. Tetapkan Rolling window function ke mean.
3. Tetapkan Agregasi deret waktu ke rata-rata.
4. Tetapkan Time series group by ke collector_id. Jika tidak ditetapkan untuk mengelompokkan menurut collector_id, notifikasi akan dipicu untuk setiap sumber log.
Klik Berikutnya.
Pilih Metric absence, lalu lakukan tindakan berikut:
1. Tetapkan Pemicu pemberitahuan ke Deret waktu mana saja melanggar.
2. Tetapkan Waktu ketidakhadiran pemicu ke waktu maksimal 1 jam.*
3. Masukkan nama untuk kondisi, lalu klik Berikutnya.
Di bagian Notifications and name, lakukan hal berikut:
1. Pilih saluran notifikasi di kolom Gunakan saluran notifikasi. Sebaiknya konfigurasikan beberapa saluran notifikasi untuk tujuan redundansi.
2. Konfigurasi notifikasi saat insiden ditutup.
3. Tetapkan label pengguna kebijakan ke tingkat yang sesuai. Gunakan setelan ini untuk menetapkan tingkat keparahan pemberitahuan untuk kebijakan.
4. Masukkan dokumentasi yang ingin Anda kirim sebagai bagian dari pemberitahuan.
5. Masukkan nama untuk kebijakan pemberitahuan.

Menambahkan pengecualian ke kebijakan generik

Anda mungkin perlu mengecualikan penerusan Google SecOps tertentu dari kebijakan generik karena penerusan tersebut mungkin hanya memiliki volume traffic yang rendah, atau memerlukan kebijakan pemberitahuan yang lebih kustom.

Di Konsol Google Cloud, pilih Monitoring:
Di halaman navigasi, pilih Alerting, lalu di bagian Policies, pilih kebijakan yang ingin Anda edit.
Di halaman Detail kebijakan, klik Edit.
Di halaman Edit alerting policy, pada bagian Add filters, pilih Add a filter, lalu lakukan hal berikut:
1. Pilih label collector_id dan pengumpulan yang ingin Anda kecualikan dari kebijakan.
2. Tetapkan pembanding ke != dan nilai ke collector_id yang ingin dikecualikan, lalu klik Selesai.
3. Ulangi untuk setiap kolektor yang perlu dikecualikan. Anda juga dapat menggunakan ekspresi reguler untuk mengecualikan beberapa kolektor hanya dengan satu filter jika ingin menggunakan format berikut:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Klik Simpan Kebijakan.

Menyiapkan contoh kebijakan untuk mendeteksi agen pengumpulan Google SecOps yang tidak bersuara

Contoh kebijakan berikut mendeteksi semua agen pengumpulan Google SecOps dan mengirimkan pemberitahuan jika agen pengumpulan Google SecOps tidak mengirimkan log selama 60 menit. Contoh ini mungkin tidak berguna untuk semua agen pengumpulan Google SecOps yang ingin Anda pantau. Misalnya, Anda dapat memantau satu sumber log di satu atau beberapa agen pengumpulan Google SecOps dengan nilai minimum yang berbeda atau mengecualikan agen pengumpulan Google SecOps berdasarkan frekuensi pelaporan.

Di Konsol Google Cloud, pilih Monitoring:
Buka Cloud Monitoring
Klik Create Policy.
Di halaman Select a metric, pilih Chronicle Collector > Agent > Exporter Accepted Spans Count.
Klik Terapkan.
Di bagian Transform data, lakukan tindakan berikut:
1. Tetapkan Rolling window hingga 1 jam*.
2. Tetapkan Rolling window function ke mean.
3. Tetapkan Agregasi deret waktu ke rata-rata.
4. Tetapkan Time series group by ke collector_id. Jika tidak ditetapkan untuk mengelompokkan menurut collector_id, pemberitahuan akan dipicu untuk setiap sumber log.
Klik Berikutnya.
Pilih Metric absence, lalu lakukan tindakan berikut:
1. Tetapkan Pemicu pemberitahuan ke Deret waktu mana saja melanggar.
2. Tetapkan Waktu ketidakhadiran pemicu hingga 1 jam*.
3. Masukkan nama untuk kondisi, lalu klik Berikutnya.
Di bagian Notifications and name, lakukan hal berikut:
1. Pilih saluran notifikasi di kolom Gunakan saluran notifikasi. Sebaiknya konfigurasikan beberapa saluran notifikasi untuk tujuan redundansi.
2. Konfigurasi notifikasi saat insiden ditutup.
3. Tetapkan label pengguna kebijakan ke tingkat yang sesuai. Ini digunakan untuk menetapkan tingkat keparahan pemberitahuan untuk kebijakan.
4. Masukkan dokumentasi yang ingin Anda kirim sebagai bagian dari pemberitahuan.
5. Masukkan nama untuk kebijakan pemberitahuan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.