Usa Cloud Monitoring para las notificaciones de transferencia
En este documento, se describe cómo usar Cloud Monitoring para recibir notificaciones de transferencia. Google SecOps usa Cloud Monitoring para enviar las notificaciones de transferencia. Con esta función, puedes abordar los problemas de manera proactiva. Puedes integrar las notificaciones por correo electrónico en los flujos de trabajo existentes. Las notificaciones se activan cuando los valores de transferencia alcanzan ciertos niveles predefinidos. En la documentación de Cloud Monitoring, las notificaciones se denominan alertas.
Antes de comenzar
Asegúrate de familiarizarte con Cloud Monitoring.
Asegúrate de que tu rol de Identity and Access Management incluya los permisos del rol
roles/monitoring.alertPolicyEditor
. Para obtener más información sobre los roles, consulta Control de acceso.Asegúrate de estar familiarizado con la creación de políticas de alertas en Cloud Monitoring. Para obtener información sobre estos pasos, consulta Crea alertas.
Configura el canal de notificaciones como correo electrónico para recibir notificaciones de transferencia. Para obtener información sobre estos pasos, consulta Cómo administrar canales de notificaciones.
Configura la notificación de transferencia para las métricas de estado
Para configurar notificaciones que supervisen las métricas de estado de transferencia específicas de Google SecOps, haz lo siguiente:
En la consola de Google Cloud, selecciona Monitoring:
En el panel de navegación, selecciona Alertas y, luego, haz clic en Crear política.
En la página Seleccionar una métrica, haz clic en Seleccionar una métrica.
En el menú Seleccionar una métrica, haz clic en cualquiera de las siguientes opciones:
- Activa el botón de activación Activo para filtrar y mostrar solo los recursos y las métricas con datos de las últimas 25 horas. Si no lo haces, se mostrarán todos los tipos de recursos y métricas.
- Botón de activación de nivel de organización/carpeta para supervisar recursos y métricas, como los o la asignación de ranura de BigQuery para tu organización y tus carpetas.
Selecciona cualquiera de las siguientes métricas:
Selecciona Chronicle Collector > Transferencia y, luego, Cantidad total de registros transferidos o Tamaño total de registros transferidos.
Selecciona Chronicle Collector > Normalizer y, luego, elige Recuento total de registros o Recuento total de eventos.
Selecciona Tipo de registro de Chronicle > Fuera de banda y, luego, selecciona Cantidad total de registros transferidos (Feeds) o Tamaño total de registros transferidos (Feeds).
Haz clic en Aplicar.
Para agregar un filtro, en la página Seleccionar una métrica, haz clic en Agregar filtro. En el diálogo de filtro, selecciona la etiqueta collector_id, un comparador y, luego, el valor del filtro.
Selecciona uno o más de los siguientes filtros:
project_id: Es el identificador del proyecto de Google Cloud asociado con este recurso.
location: Es la ubicación física del clúster que contiene el objeto colector. Te recomendamos que no uses este campo. Si dejas este campo vacío, Google Security Operations puede usar la información que ya tiene para determinar automáticamente dónde almacenar los datos.
collector_id: Es el ID del recopilador.
log_type: Es el nombre del tipo de registro.
Etiqueta de métrica > espacio de nombres: Es el espacio de nombres del registro.
Feed_name: Es el nombre del feed.
LogType: Es el tipo de registro.
Etiqueta de métrica > event_type: El tipo de evento determina qué campos se incluyen en el evento. El tipo de evento incluye valores como
PROCESS_OPEN
,FILE_CREATION
,USER_CREATION
yNETWORK_DNS
.Etiqueta de métrica > state: Es el estado final del evento o registro. El estado es uno de los siguientes:
parsed
. El registro se analiza correctamente.validated
El registro se validó correctamente.failed_parsing
El registro tiene errores de análisis.failed_validation
. El registro tiene errores de validación.failed_indexing
El registro tiene errores de indexación por lotes.
Etiqueta de métrica > drop_reason_code: Este campo se propaga si la fuente de transferencia es el servidor de reenvío de Google SecOps y también indica el motivo por el que se descartó un registro durante la normalización.
Etiqueta de métrica > ingestion_source: Es la fuente de transferencia presente en la etiqueta de transferencia cuando los registros se transfieren con la API de transferencia.
Selecciona un ID de colector especial. El ID de colector también puede ser un ID de reenvío o un ID especial basado en el método de transferencia.
aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: Representa todos los feeds creados con la API o la página de administración de feeds. Para obtener más información sobre la administración de feeds, consulta Administración de feeds y API de administración de feeds.
bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: que representa todas las fuentes de transferencia que usan el método
unstructuredlogentries
de la API de transferencia. Para obtener más información sobre la API de transferencia, consulta API de transferencia de SecOps de Google.cccccccc-cccc-cccc-cccc-cccccccccccc: Representa todas las fuentes de transferencia que usan el método
udmevents
de la API de transferencia.dddddddd-dddd-dddd-dddd-dddddddddddd: Representa transferencia de registro de Google Cloud.
eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: Representa el ID del recopilador que se usa para
CreateEntities
.aaaa1111-aaaa-1111-aaaa-1111aaaa1111: Representa el agente de recopilación.
En la sección Transformar datos, haz lo siguiente:
- Establece el campo Agregación de series temporales en suma.
- Establece el campo Time series group by en project_id.
Opcional: Configura una política de alertas con varias condiciones. Para crear notificaciones de transferencia con varias condiciones dentro de una política de alertas, consulta Políticas con varias condiciones.
Métricas de reenvío de Google SecOps y filtros asociados
En la siguiente tabla, se describen las métricas de reenvío de Google SecOps disponibles y los filtros asociados.
Métrica de servidores de reenvío de Google SecOps | Filtro |
---|---|
Memoria de contenedor usada | log_type , collector_id |
Uso del disco del contenedor | log_type , collector_id |
Contenedor cpu_used | log_type , collector_id |
Recuento de registros drop_count | log_type , collector_id , input_type , reason |
buffer_used | log_type , collector_id , buffer_type , input_type |
last_heartbeat | log_type , collector_id , input_type |
Configura una política de muestra para detectar reenviadores silenciosos de Google SecOps
La siguiente política de muestra detecta todos los reenvío de Google SecOps y envía alertas si los reenvío de Google SecOps no envían registros durante 60 minutos. Es posible que esto no sea útil para todos los servidores de reenvío de Google SecOps que quieras supervisar. Por ejemplo, puedes supervisar una sola fuente de registro en uno o varios reenviadores de Google SecOps con un umbral diferente, o bien excluir los reenviadores de Google SecOps según su frecuencia de informes.
En la consola de Google Cloud, selecciona Monitoring:
Ir a Cloud MonitoringHaz clic en Crear política.
En la página Selecciona una métrica, elige Recopilador de Chronicle > Transferencia > Recuento total de registros transferidos.
Haz clic en Aplicar.
En la sección Transformar datos, haz lo siguiente:
- Configura la ventana progresiva en 1 hora.
- Establece la función de ventana progresiva en media.
- Establece Agregación de serie temporal como media.
- Establece Agrupación de las series temporales por en collector_id. Si no se configura para agrupar por collector_id, se activa una alerta para cada fuente de registro.
Haz clic en Siguiente.
Selecciona Ausencia de métrica y haz lo siguiente:
- Configura Activador de alertas en Cualquier serie temporal es una infracción.
- Establece el Tiempo de ausencia del activador en 1 hora.
- Ingresa un nombre para la condición y, luego, haz clic en Siguiente.
En la sección Notificaciones y nombre, haz lo siguiente:
- Selecciona un canal de notificaciones en el cuadro Usar el canal de notificaciones. Te recomendamos que configures varios canales de notificaciones con fines de redundancia.
- Configura notificaciones sobre el cierre de incidentes.
- Establece las etiquetas de usuario de la política en un nivel adecuado. Se usa para establecer el nivel de gravedad de la alerta de una política.
- Ingresa toda la documentación que desees que se envíe como parte de la alerta.
- Ingresa un nombre para la política de alertas.
Agregue exclusiones a una política genérica
Es posible que debas excluir ciertos reenvíos de SecOps de Google de una política de captura general, ya que es posible que tengan volúmenes de tráfico bajos o requieran una política de alertas más personalizada.
En la consola de Google Cloud, selecciona Monitoring:
En la página de navegación, selecciona Alertas y, luego, en la sección Políticas, selecciona la política que deseas editar.
En la página Detalles de la política, haz clic en Editar.
En la página Editar política de alertas, en la sección Agregar filtros, selecciona Agregar un filtro y haz lo siguiente:
- Selecciona la etiqueta collector_id y el recopilador que deseas excluir de la política.
- Establece el comparador en
!=
y el valor en elcollector_id
que deseas excluir y, luego, haz clic en Listo. - Repite el proceso para cada recopilador que se deba excluir. También puedes usar una expresión regular para excluir varios recopiladores con un solo filtro si deseas usar el siguiente formato:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Haz clic en Guardar política.
Configura una política de muestra para detectar agentes de recopilación silenciosos de Google SecOps
La siguiente política de muestra detecta todos los agentes de recopilación de Google SecOps y envía alertas si estos no envían registros durante 60 minutos. Es posible que esta muestra no sea útil para todos los agentes de recopilación de SecOps de Google que deseas supervisar. Por ejemplo, puedes supervisar una sola fuente de registro en uno o varios agentes de recopilación de Google SecOps con un umbral diferente, o bien excluir agentes de recopilación de Google SecOps según su frecuencia de informes.
En la consola de Google Cloud, selecciona Monitoring:
Ir a Cloud MonitoringHaz clic en Crear política.
En la página Selecciona una métrica, elige Chronicle Collector > Agent > Exporter Accepted Spans Count.
Haz clic en Aplicar.
En la sección Transformar datos, haz lo siguiente:
- Configura la ventana progresiva en 1 hora.
- Establece la función de ventana progresiva en media.
- Establece Agregación de serie temporal como media.
- Establece Agrupación de las series temporales por en collector_id. Si no se configura para agrupar por collector_id, se activa una alerta para cada fuente de registro.
Haz clic en Siguiente.
Selecciona Ausencia de métrica y haz lo siguiente:
- Configura Activador de alertas en Cualquier serie temporal es una infracción.
- Establece el Tiempo de ausencia del activador en 1 hora.
- Ingresa un nombre para la condición y, luego, haz clic en Siguiente.
En la sección Notificaciones y nombre, haz lo siguiente:
- Selecciona un canal de notificaciones en el cuadro Usar el canal de notificaciones. Te recomendamos que configures varios canales de notificaciones con fines de redundancia.
- Configura notificaciones sobre el cierre de incidentes.
- Establece las etiquetas de usuario de la política en un nivel adecuado. Se usa para establecer el nivel de gravedad de la alerta de una política.
- Ingresa toda la documentación que desees que se envíe como parte de la alerta.
- Ingresa un nombre para la política de alertas.