Esta página foi traduzida pela API Cloud Translation.

Como usar o Cloud Monitoring para notificações de transferência

Compatível com:

Google SecOps SIEM

Neste documento, descrevemos como usar o Cloud Monitoring para receber notificações de ingestão. O Google SecOps usa o Cloud Monitoring para enviar as notificações de ingestão. Com esse recurso, é possível resolver os problemas proativamente. É possível integrar notificações por e-mail aos fluxos de trabalho atuais. As notificações são acionadas quando os valores de transferência chegam a determinados níveis predefinidos. Na documentação do Cloud Monitoring, as notificações são chamadas de alertas.

Antes de começar

Familiarize-se com o Cloud Monitoring.
Configure um projeto do Google Cloud para o Google SecOps.
Verifique se o papel do Identity and Access Management inclui as permissões do papel roles/monitoring.alertPolicyEditor. Para mais informações sobre papéis, consulte Controle de acesso.
Familiarize-se com a criação de políticas de alertas no Cloud Monitoring. Para informações sobre essas etapas, consulte Criar alertas.
Configure o canal de notificação como e-mail para receber notificações de transferência. Para saber mais sobre essas etapas, consulte Gerenciar canais de notificação.

Configurar a notificação de transferência para métricas de integridade

Para configurar notificações que monitorem as métricas de integridade da transferência específicas do Google SecOps, faça o seguinte:

No console do Google Cloud, selecione Monitoring:
No painel de navegação, selecione Alertas e clique em Criar política.
Na página Selecionar uma métrica, clique em Selecionar uma métrica.
No menu Selecionar uma métrica, clique em uma das seguintes opções:
- Ativo para filtrar e mostrar apenas recursos e métricas com dados das últimas 25 horas. Se você não selecionar essa opção, todos os tipos de métricas e recursos serão listados.
- Botão Nível da organização/pasta para monitorar recursos e métricas, como o uso da cota ou alocação Slot do BigQuery para sua organização e pastas.
Selecione uma das métricas a seguir:
- Selecione Chronicle Collector > Ingestão e, em seguida, selecione Contagem total de registros ingeridos ou Tamanho total do registro ingerido.
- Selecione Chronicle Collector > Normalizer e Contagem total de registros ou Contagem total de eventos.
- Selecione Chronicle Log Type > Outofband e Total log count (Feeds) ou Total log size (Feeds).
Clique em Aplicar.
Para adicionar um filtro, na página Selecionar uma métrica, clique em Adicionar filtro. Na caixa de diálogo do filtro, selecione o rótulo collector_id, um comparador e o valor do filtro.
- Selecione um ou mais dos seguintes filtros:
  - project_id: o identificador do projeto do Google Cloud associado a esse recurso.
  - local: o local físico do cluster que contém o objeto do coletor. Recomendamos que você não use esse campo. Se você deixar esse campo em branco, as Operações de Segurança do Google poderão usar as informações que já têm para determinar automaticamente onde armazenar os dados.
  - collector_id: o ID do coletor.
  - log_type: o nome do tipo de registro.
  - Rótulo da métrica > namespace: o namespace do registro.
  - Feed_name: o nome do feed.
  - LogType: o tipo de registro.
  - Rótulo da métrica > event_type: o tipo de evento determina quais campos são incluídos com o evento. O tipo de evento inclui valores como PROCESS_OPEN, FILE_CREATION, USER_CREATION e NETWORK_DNS.
  - Rótulo da métrica > estado: o status final do evento ou registro. O status é um dos seguintes:
    - parsed. O registro foi analisado.
    - validated: O registro foi validado.
    - failed_parsing. O registro tem erros de análise.
    - failed_validation. O registro tem erros de validação.
    - failed_indexing: O registro tem erros de indexação em lote.
  - Rótulo da métrica > drop_reason_code: esse campo é preenchido se a origem da ingestão é o encaminhador do Google SecOps e indica o motivo pelo qual um registro foi descartado durante a normalização.
  - Rótulo da métrica > ingestion_source: a origem de ingestão presente no rótulo de ingestão quando os registros são ingeridos usando a API de ingestão.
- Selecione um ID do coletor especial. O ID do coletor também pode ser um ID de encaminhador ou um ID especial com base no método de ingestão.
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: representa todos os feeds criados usando a API ou página Feed Management. Para mais informações sobre o gerenciamento de feeds, consulte Gerenciamento de feeds e API Feed Management.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: representa todas as origens de transferência que usam o método unstructuredlogentries da API Ingestion. Para mais informações sobre a API Ingest, consulte a API Google SecOps Ingestion.
  - cccccccc-cccc-cccc-cccc-cccccccccccc: representa todas as origens de ingestão que usam o método udmevents da API Ingestion.
  - dddddddd-dddd-dddd-dddd-dddddddddddd: representa a ingestão de registros do Google Cloud.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: representa o ID do coletor usado para CreateEntities.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111: representa o agente de coleção.
Na seção Transformar dados, faça o seguinte:
1. Defina o campo Agregação de séries temporais como soma.
2. Defina o campo Grupo de série temporal por como project_id.
Opcional: configure uma política de alerta com várias condições. Para criar notificações de transferência com várias condições em uma política de alerta, consulte Políticas com várias condições.

Métricas de encaminhadores do Google SecOps e filtros associados

A tabela a seguir descreve as métricas disponíveis do encaminhador do Google SecOps e os filtros associados.

Métrica de encaminhador do Google SecOps	Filtro
Memória do contêiner usada	`log_type`, `collector_id`
Disco do contêiner usado	`log_type`, `collector_id`
Cpu_used do contêiner	`log_type`, `collector_id`
Registro de drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Configure um exemplo de política para detectar encaminhadores silenciosos do Google SecOps

A política de exemplo a seguir detecta todos os encaminhadores do Google SecOps e envia alertas se eles não enviarem registros por 60 minutos. Isso pode não ser útil para todos os encaminhadores do Google SecOps que você quer monitorar. Por exemplo, é possível monitorar uma única origem de registro em uma ou várias Encaminhadores do Google SecOps com um limite diferente ou que excluem esses profissionais com base na frequência de geração de relatórios.

No console do Google Cloud, selecione Monitoring:
Acessar o Cloud Monitoring
Clique em Criar política.
Na página Selecionar uma métrica, selecione Coletor do Chronicle > Ingestão > Contagem total de registros ingeridos.
Clique em Aplicar.
Na seção Transformar dados, faça o seguinte:
1. Defina a Janela contínua como 1 hora.
2. Defina a Função de janela contínua como média.
3. Defina a Agregação da série temporal como média.
4. Defina o Agrupar séries temporais por como collector_id. Se ele não estiver definido para agrupar por collector_id, um alerta é acionado para cada origem de registro.
Clique em Próxima.
Selecione Ausência de métrica e faça o seguinte:
1. Defina Gatilho de alerta como Qualquer série temporal viola.
2. Defina o Horário de ausência do gatilho como 1 hora.
3. Insira um nome para a condição e clique em Próxima.
Na seção Notificações e nome, faça o seguinte:
1. Selecione um canal de notificação na caixa Usar canal de notificação. Recomendamos que você configure vários canais de notificação para fins de redundância.
2. Configurar notificações no fechamento de incidentes.
3. Defina os rótulos de usuário da política em um nível adequado. Isso é usado para definir o nível de gravidade do alerta de uma política.
4. Insira qualquer documentação que você queira enviar como parte do alerta.
5. Insira um nome para a política de alertas.

Adicionar exclusões a uma política de catch-all

Talvez seja necessário excluir determinados encaminhadores de SecOps do Google de uma política abrangente, porque podem ter baixos volumes de tráfego ou uma política de alertas mais personalizada.

No console do Google Cloud, selecione Monitoring:
Na página de navegação, selecione Alertas e, na seção Políticas, selecione a política que você quer editar.
Na página Detalhes da política, clique em Editar.
Na página Editar política de alertas, na seção Adicionar filtros, selecione Adicionar um filtro e faça o seguinte:
1. Selecione o identificador collector_id e o coletor que você quer excluir da política.
2. Defina o comparador como != e o valor como o collector_id que você quer excluir e clique em Done.
3. Repita para cada coletor que precisa ser excluído. Você também poderá usar uma expressão regular para excluir vários coletores com apenas um filtro se quiser usar o seguinte formato:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Clique em Salvar política.

Defina uma política de amostra para detectar agentes de coleta silenciosos do Google SecOps

O exemplo de política a seguir detecta todos os agentes de coleta do Google SecOps e envia alertas se os agentes de coleta do Google SecOps não enviarem registros por 60 minutos. Esta amostra pode não ser útil para todos os agentes de coleta do Google SecOps que você quer monitorar. Por exemplo, é possível monitorar uma única origem de registro em um ou vários agentes de coleta do Google SecOps com um limite diferente ou excluir agentes de coleta do Google SecOps com base na frequência de relatórios.

No console do Google Cloud, selecione Monitoring:
Acessar o Cloud Monitoring
Clique em Criar política.
Na página Selecionar uma métrica, selecione Chronicle Collector > Agent > Exporter Accepted Spans Count.
Clique em Aplicar.
Na seção Transformar dados, faça o seguinte:
1. Defina a Janela contínua como 1 hora.
2. Defina a Função de janela contínua como média.
3. Defina a Agregação da série temporal como média.
4. Defina o Agrupar séries temporais por como collector_id. Se ele não estiver definido para agrupar por collector_id, um alerta é acionado para cada origem de registro.
Clique em Próxima.
Selecione Ausência de métrica e faça o seguinte:
1. Defina Gatilho de alerta como Qualquer série temporal viola.
2. Defina o Horário de ausência do gatilho como 1 hora.
3. Insira um nome para a condição e clique em Próxima.
Na seção Notificações e nome, faça o seguinte:
1. Selecione um canal de notificação na caixa Usar canal de notificação. Recomendamos que você configure vários canais de notificação para fins de redundância.
2. Configurar notificações no fechamento de incidentes.
3. Defina os rótulos de usuário da política em um nível adequado. Isso é usado para definir o nível de gravidade do alerta de uma política.
4. Insira qualquer documentação que você queira enviar como parte do alerta.
5. Insira um nome para a política de alertas.