此页面由 Cloud Translation API 翻译。

使用 Cloud Monitoring 提供提取通知

支持以下语言：

Google SecOps SIEM

本文档介绍了如何使用 Cloud Monitoring 接收提取通知。Google SecOps 使用 Cloud Monitoring 发送提取通知。借助此功能，您可以主动解决问题。您可以在现有工作流中集成电子邮件通知。当提取值达到特定的预定义级别时，就会触发通知。在 Cloud Monitoring 文档中，通知称为提醒。

准备工作

确保您熟悉 Cloud Monitoring。
为 Google SecOps 配置 Google Cloud 项目。
确保您的 Identity and Access Management 角色包含 roles/monitoring.alertPolicyEditor 角色的权限。如需详细了解角色，请参阅访问权限控制。
确保您熟悉如何在 Cloud Monitoring 中创建提醒政策。有关这些步骤的信息，请参阅创建提醒。
将通知渠道配置为电子邮件，以接收提取通知。如需了解这些步骤，请参阅管理通知渠道。

为健康指标设置提取通知

如需设置通知来监控特定于 Google SecOps 的提取健康状况指标，请执行以下操作：

在 Google Cloud 控制台中，选择 Monitoring。
在导航窗格中，选择 Alerting，然后点击 Create policy。
在选择指标页面上，点击选择指标。
在选择指标菜单中，点击以下任一选项：
- 活跃切换开关，用于过滤和仅显示包含过去 25 小时内数据的资源和指标。如果您未选择此项，系统会列出所有资源和指标类型。
- 组织/文件夹级别切换开关，用于监控资源和指标（例如使用方）组织和文件夹的配额用量或 BigQuery 槽分配。
选择以下任意指标：
- 依次选择 Chronicle Collector > 提取，然后选择提取的日志总数或提取的日志总大小。
- 依次选择 Chronicle Collector > Normalizer，然后选择 Total record count 或 Total event count。
- 依次选择 Chronicle Log Type > Outofband，然后选择 Total ingested log count (Feeds) 或 Total ingested log size (Feeds)。
点击应用。
如需添加过滤条件，请在选择指标页面上点击添加过滤条件。在过滤条件对话框中，选择 collector_id 标签、比较运算符，然后选择过滤条件值。
- 选择以下一个或多个过滤条件：
  - project_id：与此资源关联的 Google Cloud 项目的标识符。
  - location：包含收集器对象的集群的物理位置。我们建议您不要使用此字段。如果您将此字段留空那么 Google Security Operations 就可以使用它已有的信息自动确定数据的存储位置。
  - collector_id：收款方的 ID。
  - log_type：日志类型的名称。
  - 指标标签 >namespace：日志的命名空间。
  - Feed_name：Feed 的名称。
  - LogType：日志类型。
  - 指标标签 >event_type：事件类型决定了事件包含哪些字段。事件类型包括 PROCESS_OPEN、FILE_CREATION、USER_CREATION 和 NETWORK_DNS 等值。
  - 指标标签 >state：事件或日志的最终状态。其状态包括以下几种：
    - parsed。日志已成功解析。
    - validated。已成功验证日志。
    - failed_parsing。日志存在解析错误。
    - failed_validation。日志存在验证错误。
    - failed_indexing。日志存在批量索引编制错误。
  - 指标标签 > drop_reason_code：如果提取来源是 Google SecOps 转发器，系统会填充此字段，并指明在标准化过程中丢弃日志的原因。
  - 指标标签 >ingestion_source：使用 ingestion API 提取日志时，提取方式标签中显示的提取来源。
- 选择一个特殊的收款方 ID。收集器 ID 还可以是转发器 ID 或特殊 ID，具体取决于提取方法。
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa：表示使用 Feed Management API 或 Feed 页面创建的所有 Feed。如需详细了解 Feed 管理，请参阅 Feed 管理和 Feed 管理 API。
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb：表示使用 Ingestion API unstructuredlogentries 方法的提取来源。如需详细了解 ingestion API，请参阅 Google SecOps Ingestion API。
  - cccccccc-cccc-cccc-cccc-cccccccccccc：表示使用 Ingestion API udmevents 方法的所有提取来源。
  - dddddddd-dddd-dddd-dddd-dddddddddddd：表示 Google Cloud 日志提取。
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee：表示用于 CreateEntities 的收款方 ID。
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111：表示代收代付代理。
在转换数据部分中，执行以下操作：
1. 将时间序列聚合字段设置为 sum。
2. 将时间序列分组依据字段设置为 project_id。
可选：设置包含多个条件的提醒政策。如需在提醒政策中创建包含多个条件的提取通知，请参阅包含多个条件的政策。

Google SecOps 转发器指标和关联的过滤条件

下表介绍了可用的 Google SecOps 转发器指标和关联的过滤条件。

Google SecOps 转发器指标	过滤
已使用的容器内存量	`log_type`，`collector_id`
已使用的容器磁盘	`log_type`，`collector_id`
容器 cpu_used	`log_type`，`collector_id`
日志丢弃计数	`log_type`、`collector_id`、`input_type`、`reason`
buffer_used	`log_type`、`collector_id`、`buffer_type`、`input_type`
last_heartbeat	`log_type`、`collector_id`、`input_type`

设置示例政策以检测静默 Google SecOps 转发器

以下示例政策会检测所有 Google SecOps 转发器并发送提醒如果 Google SecOps 转发器在 60 分钟内未发送日志，则会触发该日志。这对于您要监控的所有 Google SecOps 转发器可能并不实用。例如，您可以监控一个或多个来源中的单个日志源，具有其他阈值的 Google SecOps 转发者或排除 Google SecOps 转发者根据其报告频率

在 Google Cloud 控制台中，选择 Monitoring。
转到 Cloud Monitoring
点击创建政策。
在选择指标页面上，依次选择 Chronicle Collector > 提取 > 提取的日志总数。
点击应用。
在转换数据部分中，执行以下操作：
1. 将滚动窗口设置为 1 小时。
2. 将滚动窗口函数设置为 mean。
3. 将时间序列聚合设置为 mean。
4. 将时间序列分组依据设置为 collector_id。如果未设置为按 collector_id 分组，则将针对每个日志源触发提醒。
点击下一步。
选择指标缺失，并执行以下操作：
1. 将提醒触发器设置为任何违反时序的情况。
2. 将触发器缺失时间设置为 1 小时。
3. 输入条件的名称，然后点击下一步。
在通知和名称部分，执行以下操作：
1. 在使用通知渠道框中选择通知渠道。为实现冗余，我们建议您配置多个通知渠道。
2. 配置突发事件关闭时的通知。
3. 将政策用户标签设置为适当的级别。此参数用于为政策设置提醒的严重级别。
4. 输入您希望作为提醒的一部分发送给您的任何文件。
5. 输入提醒政策的名称。

向全包政策添加排除对象

可能有必要排除某些 Google SecOps 转发器因为这类政策的流量可能较低，自定义程度更高的提醒政策

在 Google Cloud 控制台中，选择 Monitoring。
在导航页面中，选择 Alerting，然后在 Policies 部分中选择要修改的政策。
在政策详情页面上，点击修改。
在修改提醒政策页面的添加过滤条件部分下，选择添加过滤条件并执行以下操作：
1. 选择 collector_id 标签，以及要从政策中排除的收集器。
2. 将比较运算符设置为 !=，将值设置为要排除的 collector_id，然后点击完成。
3. 对每个需要排除的收集器重复上述操作。如果您想使用以下格式，也可以使用正则表达式通过一个过滤条件排除多个收集器：
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
点击保存政策。

设置示例政策以检测静默 Google SecOps 收集代理

以下示例政策会检测所有 Google SecOps 收集代理并发送提醒如果 Google SecOps 收集代理在 60 分钟内未发送日志。此示例可能不适用于您要监控的所有 Google SecOps 收集代理。例如，您可以监控一个或多个来源中的单个日志源， Google SecOps 收集代理具有不同的阈值，或排除 Google SecOps 收集代理根据其报告频率

在 Google Cloud 控制台中，选择 Monitoring。
转到 Cloud Monitoring
点击创建政策。
在选择指标页面上，依次选择 Chronicle Collector > 代理 > Exporter Accepted Spans Count。
点击应用。
在转换数据部分中，执行以下操作：
1. 将滚动窗口设置为 1 小时。
2. 将滚动窗口函数设置为 mean。
3. 将时间序列聚合设置为 mean。
4. 将时间序列分组依据设置为 collector_id。如果未设置为按 collector_id 分组，则将针对每个日志源触发提醒。
点击下一步。
选择指标缺失，并执行以下操作：
1. 将提醒触发器设置为任何违反时序的情况。
2. 将触发器缺失时间设置为 1 小时。
3. 输入条件的名称，然后点击下一步。
在通知和名称部分，执行以下操作：
1. 在使用通知渠道框中选择通知渠道。为实现冗余，我们建议您配置多个通知渠道。
2. 配置突发事件关闭时的通知。
3. 将政策用户标签设置为适当的级别。此参数用于为政策设置提醒的严重级别。
4. 输入您希望作为提醒的一部分发送给您的任何文件。
5. 输入提醒政策的名称。