Utilizzo di Cloud Monitoring per le notifiche di importazione

Questo documento descrive come utilizzare Cloud Monitoring per ricevere notifiche di importazione. Google SecOps utilizza Cloud Monitoring per inviare le notifiche di importazione. Questa funzionalità ti consente di risolvere i problemi in modo proattivo. Puoi integrare le notifiche via email nei flussi di lavoro esistenti. Le notifiche vengono attivate quando i valori di importazione raggiungono determinati livelli predefiniti. Nella documentazione di Cloud Monitoring, le notifiche sono chiamate avvisi.

Prima di iniziare

• Assicurati di conoscere meglio Cloud Monitoring.

• Configura un progetto Google Cloud per Google SecOps.

• Assicurati che il ruolo Identity and Access Management includa le autorizzazioni nel ruolo roles/monitoring.alertPolicyEditor. Per ulteriori informazioni sui ruoli, vedi Controllo dell'accesso.

• Assicurati di avere familiarità con la creazione di criteri di avviso in Cloud Monitoring. Per informazioni su questi passaggi, vedi Creare avvisi.

• Configura il canale di notifica come email per ricevere notifiche di importazione. Per informazioni su questi passaggi, vedi Gestire i canali di notifica.

Configura la notifica di importazione per le metriche di salute

Per configurare notifiche che monitorano le metriche sullo stato dell'importazione specifiche per Google SecOps, segui questi passaggi:

1. Nella console Google Cloud, seleziona Monitoring.

2. Nel riquadro di navigazione, seleziona Avvisi, quindi fai clic su Crea criterio.

3. Nella pagina Seleziona una metrica, fai clic su Seleziona una metrica.

4. Nel menu Seleziona una metrica, fai clic su una delle seguenti opzioni:

   • Attiva/disattiva l'opzione Attiva per filtrare e visualizzare solo le risorse e le metriche con dati delle ultime 25 ore. Se non selezioni questa opzione, vengono elencati tutti i tipi di risorse e metriche.
   • Attiva/disattiva a livello di organizzazione/cartella per monitorare risorse e metriche, ad esempio l'utilizzo della quota o l'allocazione di slot BigQuery per l'organizzazione e le cartelle.

5. Seleziona una delle seguenti metriche:

   • Seleziona Chronicle Collector > Importazione, quindi Conteggio totale log importati o Dimensione totale log importati.

   • Seleziona Chronicle Collector > Normalizer, quindi Conteggio totale record o Conteggio totale eventi.

   • Seleziona Tipo di log Chronicle > Outofband, quindi seleziona Conteggio totale dei log importati (feed) o Dimensioni totali log importati (feed).

6. Fai clic su Applica.

7. Per aggiungere un filtro, nella pagina Seleziona una metrica, fai clic su Aggiungi filtro. Nella finestra di dialogo del filtro, seleziona l'etichetta collector_id, un comparatore e quindi il valore del filtro.

   • Seleziona uno o più dei seguenti filtri:

     • project_id: l'identificatore del progetto Google Cloud associato alla risorsa.

     • location: la posizione fisica del cluster che contiene l'oggetto raccoglitore. Ti consigliamo di non utilizzare questo campo. Se lasci vuoto questo campo, Google Security Operations può utilizzare le informazioni già in suo possesso per determinare automaticamente dove archiviare i dati.

     • collector_id: l'ID del raccoglitore.

     • log_type: il nome del tipo di log.

     • Etichetta metrica > namespace: lo spazio dei nomi del log.

     • Feed_name: il nome del feed.

     • LogType: il tipo di log.

     • Etichetta metrica > event_type: il tipo di evento determina quali campi vengono inclusi nell'evento. Il tipo di evento include valori come PROCESS_OPEN, FILE_CREATION, USER_CREATION e NETWORK_DNS.

     • Etichetta metrica > state: lo stato finale dell'evento o del log. Lo stato è uno dei seguenti:

       • parsed. Il log è stato analizzato correttamente.
       • validated. Il log è stato convalidato.
       • failed_parsing. Il log contiene errori di analisi.
       • failed_validation. Il log contiene errori di convalida.
       • failed_indexing. Il log contiene errori di indicizzazione in batch.

     • Etichetta metrica > drop_reason_code: questo campo viene compilato se l'origine di importazione è il server di forwarding Google SecOps e indica il motivo per cui un log è stato eliminato durante la normalizzazione.

     • Etichetta metrica > ingestion_source: l'origine di importazione presente nell'etichetta di importazione quando i log vengono importati utilizzando l'API di importazione.

   • Seleziona un ID raccoglitore speciale. L'ID raccoglitore può anche essere un ID forwarding o un ID speciale in base al metodo di importazione.

     • aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: rappresenta tutti i feed creati utilizzando la pagina o l'API Feed Management. Per ulteriori informazioni sulla gestione dei feed, consulta Gestione dei feed e API di gestione dei feed.

     • bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: rappresenta tutte le origini di importazione che utilizzano il metodo unstructuredlogentries dell'API Ingestion. Per saperne di più sull'API di importazione, consulta l'articolo sull'API Google SecOps Ingestion.

     • cccccccc-cccc-cccc-cccc-cccccccccccc: rappresenta tutte le origini di importazione che utilizzano il metodo udmevents dell'API Importazione.

     • dddddddd-dddd-dddd-dddd-dddddddddddd, rappresenta l'importazione dei log di Google Cloud.

     • eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: rappresenta l'ID raccoglitore utilizzato per CreateEntities.

     • aaaa1111-aaaa-1111-aaaa-1111aaaa1111: rappresenta l'agente di recupero crediti.

8. Nella sezione Trasforma i dati, segui questi passaggi:

   1. Imposta il campo Aggregazione serie temporali su somma.
   2. Imposta il campo Raggruppa per serie temporali su project_id.

9. (Facoltativo) Configura un criterio di avviso con più condizioni. Per creare notifiche di importazione con più condizioni all'interno di un criterio di avviso, vedi Criteri con più condizioni.

Metriche di forwarding di Google SecOps e filtri associati

La seguente tabella descrive le metriche disponibili per l'inoltro di Google SecOps e i filtri associati.

Metrica di inoltro di Google SecOps	Filtro
Memoria del container utilizzata	log_type, collector_id
Disco container utilizzato	log_type, collector_id
CPU_utilizzata nel container	log_type, collector_id
Registra drop_count	log_type, collector_id, input_type, reason
buffer_used	log_type, collector_id, buffer_type, input_type
last_heartbeat	log_type, collector_id, input_type

Configura un criterio di esempio per rilevare gli forwarding silenziosi di Google SecOps

Il seguente criterio di esempio rileva tutti gli forwarding di Google SecOps e invia avvisi se gli utenti che eseguono l'inoltro di Google SecOps non inviano log per 60 minuti. Questa operazione potrebbe non essere utile per tutti gli forwarding SecOps di Google che vuoi monitorare. Ad esempio, puoi monitorare una singola sorgente log in uno o più I forwardinger Google SecOps con una soglia diversa o escludono gli forwardinger Google SecOps in base alla loro frequenza di generazione di report.

1. Nella console Google Cloud, seleziona Monitoring.
   Vai a Cloud Monitoring
   

2. Fai clic su Crea criterio.

3. Nella pagina Seleziona una metrica, seleziona Chronicle Collector > Importazione > Conteggio totale dei log importati.

4. Fai clic su Applica.

5. Nella sezione Trasforma i dati, segui questi passaggi:

   1. Imposta la finestra temporale continua su 1 ora.
   2. Imposta la Funzione finestra temporale continua su mean.
   3. Imposta Aggregazione di serie temporali su media.
   4. Imposta Raggruppa serie temporali per su collector_id. Se non è impostato sul raggruppamento in base a collector_id, viene attivato un avviso per ogni sorgente log.

6. Fai clic su Avanti.

7. Seleziona Assenza metrica e segui questi passaggi:

   1. Imposta Trigger di avviso su Qualsiasi violazione delle serie temporali.
   2. Imposta Tempo di assenza trigger su 1 ora.
   3. Inserisci un nome per la condizione e fai clic su Avanti.

8. Nella sezione Notifiche e nome, procedi nel seguente modo:

   1. Seleziona un canale di notifica nella casella Usa canale di notifica. Ti consigliamo di configurare più canali di notifica per motivi di ridondanza.
   2. Configura le notifiche sulla chiusura di un incidente.
   3. Imposta le etichette utente del criterio su un livello appropriato. Viene utilizzato per impostare il livello di gravità dell'avviso per un criterio.
   4. Inserisci la documentazione che vuoi inviare come parte dell'avviso.
   5. Inserisci un nome per il criterio di avviso.

Aggiungere esclusioni a un criterio catch-all

Potrebbe essere necessario escludere alcuni forwarding SecOps di Google da un criterio catch-all perché potrebbero avere volumi di traffico ridotti o richiedere e un criterio di avviso più personalizzato.

1. Nella console Google Cloud, seleziona Monitoring.

2. Nella pagina di navigazione, seleziona Avvisi, quindi seleziona il criterio da modificare nella sezione Criteri.

3. Nella pagina Dettagli norme, fai clic su Modifica.

4. Nella pagina Modifica criterio di avviso, nella sezione Aggiungi filtri, seleziona Aggiungi un filtro e segui questi passaggi:

   1. Seleziona l'etichetta collector_id e il raccoglitore che vuoi escludere dal criterio.
   2. Imposta il criterio di confronto su != e il valore sul valore collector_id che vuoi escludere, quindi fai clic su Fine.
   3. Ripeti l'operazione per ogni raccoglitore da escludere. Puoi anche utilizzare un'espressione regolare per escludere più raccoglitori con un solo filtro se vuoi utilizzare il seguente formato:

   (?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)

5. Fai clic su Save Policy (Salva criterio).

Configura un criterio di esempio per rilevare gli agenti di raccolta silenziosi di Google SecOps

Il seguente criterio di esempio rileva tutti gli agenti di raccolta di Google SecOps e invia avvisi se gli agenti di raccolta Google SecOps non inviano log per 60 minuti. Questo esempio potrebbe non essere utile per tutti gli agenti di raccolta di Google SecOps che vuoi monitorare. Ad esempio, puoi monitorare una singola sorgente log in uno o più Agenti di raccolta Google SecOps con una soglia diversa oppure escludi gli agenti di raccolta Google SecOps in base alla loro frequenza di generazione di report.

1. Nella console Google Cloud, seleziona Monitoring.
   Vai a Cloud Monitoring
   

2. Fai clic su Crea criterio.

3. Nella pagina Seleziona una metrica, seleziona Chronicle Collector > Agente > Exporter Accepted Spans Count.

4. Fai clic su Applica.

5. Nella sezione Trasforma i dati, segui questi passaggi:

   1. Imposta la finestra temporale continua su 1 ora.
   2. Imposta la Funzione finestra temporale continua su mean.
   3. Imposta Aggregazione di serie temporali su media.
   4. Imposta Raggruppa serie temporali per su collector_id. Se non è impostato sul raggruppamento in base a collector_id, viene attivato un avviso per ogni sorgente log.

6. Fai clic su Avanti.

7. Seleziona Assenza metrica e segui questi passaggi:

   1. Imposta Trigger di avviso su Qualsiasi violazione delle serie temporali.
   2. Imposta Tempo di assenza trigger su 1 ora.
   3. Inserisci un nome per la condizione e fai clic su Avanti.

8. Nella sezione Notifiche e nome, procedi nel seguente modo:

   1. Seleziona un canale di notifica nella casella Usa canale di notifica. Ti consigliamo di configurare più canali di notifica per motivi di ridondanza.
   2. Configura le notifiche sulla chiusura di un incidente.
   3. Imposta le etichette utente del criterio su un livello appropriato. Viene utilizzato per impostare il livello di gravità dell'avviso per un criterio.
   4. Inserisci la documentazione che vuoi inviare come parte dell'avviso.
   5. Inserisci un nome per il criterio di avviso.