Cloud Monitoring für Aufnahmebenachrichtigungen verwenden
In diesem Dokument wird beschrieben, wie Sie mit Cloud Monitoring Benachrichtigungen zur Datenaufnahme erhalten. Google SecOps verwendet Cloud Monitoring, um die Aufnahmebenachrichtigungen zu senden. Mit dieser Funktion können Sie die Probleme proaktiv angehen. Sie können E-Mail-Benachrichtigungen in die vorhandenen Workflows integrieren. Benachrichtigungen werden ausgelöst, wenn die Datenaufnahmewerte bestimmte vordefinierte Werte erreichen. In der Cloud Monitoring-Dokumentation werden Benachrichtigungen als Benachrichtigungen bezeichnet.
Hinweis
Machen Sie sich mit Cloud Monitoring vertraut.
Konfigurieren Sie ein Google Cloud-Projekt für Google SecOps.
Ihre Rolle für Identity and Access Management muss die Berechtigungen der Rolle
roles/monitoring.alertPolicyEditor
enthalten. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung.Sie sollten mit dem Erstellen von Benachrichtigungsrichtlinien in Cloud Monitoring vertraut sein. Weitere Informationen zu diesen Schritten finden Sie unter Benachrichtigungen erstellen.
Konfigurieren Sie den Benachrichtigungskanal als E-Mail, um Aufnahmebenachrichtigungen zu erhalten. Informationen zu diesen Schritten finden Sie unter Benachrichtigungskanäle verwalten.
Benachrichtigung zur Datenaufnahme für Gesundheitsmesswerte einrichten
So richten Sie Benachrichtigungen ein, die für Google SecOps spezifische Messwerte zum Aufnahmezustand überwachen:
Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie im Navigationsbereich Benachrichtigungen und dann Richtlinie erstellen aus.
Klicken Sie auf der Seite Messwert auswählen auf Messwert auswählen.
Klicken Sie im Menü Messwert auswählen auf eine der folgenden Optionen:
- Aktiv, um nur Ressourcen und Messwerte mit Daten aus den letzten 25 Stunden zu filtern und anzuzeigen. Wenn Sie diese Option nicht auswählen, werden alle Ressourcen- und Messwerttypen aufgelistet.
- Ein/Aus-Schaltfläche auf Organisations-/Ordnerebene zum Überwachen von Ressourcen und Messwerten, z. B. Nutzer Kontingentnutzung oder BigQuery-Slotzuweisung für Ihre Organisation und Ordner.
Wählen Sie einen der folgenden Messwerte aus:
Wählen Sie Chronicle Collector > Ingestion (Chronicle Collector) > Datenaufnahme und dann entweder Insgesamt aufgenommene Loganzahl oder Gesamtgröße der aufgenommenen Logs aus.
Wählen Sie Chronicle Collector > Normalizer und dann entweder Total record count (Gesamtzahl der Datensätze) oder Total event count (Gesamtzahl der Ereignisse) aus.
Wählen Sie Chronicle-Protokolltyp > Outofband und dann entweder Gesamtzahl der aufgenommenen Logs (Feeds) oder Gesamtgröße der aufgenommenen Logs (Feeds) aus.
Klicken Sie auf Anwenden.
Wenn Sie einen Filter hinzufügen möchten, klicken Sie auf der Seite Messwert auswählen auf Filter hinzufügen. Wählen Sie im Dialogfeld „Filter“ das Label collector_id, einen Vergleichsoperator und dann den Filterwert aus.
Wählen Sie einen oder mehrere der folgenden Filter aus:
project_id: Die Kennung des Google Cloud-Projekts, das dieser Ressource zugeordnet ist.
location: Der physische Standort des Clusters, der das Collector-Objekt enthält. Wir empfehlen, dieses Feld nicht zu verwenden. Wenn Sie dieses Feld leer lassen, kann Google Security Operations bereits vorhandene Informationen verwenden, um automatisch zu bestimmen, wo die Daten gespeichert werden sollen.
collector_id: Die ID des Collectors.
log_type: Der Name des Logtyps.
Messwertlabel > namespace: Der Namespace des Logs.
Feed_name: Der Name des Feeds.
LogType: Der Logtyp.
Messwertlabel > event_type: Mit dem Ereignistyp wird festgelegt, welche Felder im Ereignis enthalten sind. Der Ereignistyp umfasst Werte wie
PROCESS_OPEN
,FILE_CREATION
,USER_CREATION
undNETWORK_DNS
.Messwertlabel > state: Der endgültige Status des Ereignisses oder Protokolls. Der Status ist einer der folgenden:
parsed
Das Protokoll wurde erfolgreich geparst.validated
Das Protokoll wurde erfolgreich validiert.failed_parsing
. Das Protokoll enthält Parsingfehler.failed_validation
Das Protokoll enthält Validierungsfehler.failed_indexing
. Im Protokoll sind Fehler bei der Batch-Indexierung enthalten.
Messwertlabel > drop_reason_code: Dieses Feld wird ausgefüllt, wenn die Aufnahmequelle der Google SecOps-Forwarder ist, und gibt den Grund an, warum ein Log während der Normalisierung gelöscht wurde.
Messwertlabel > Aufnahmequelle: Die Aufnahmequelle, die im Aufnahmelabel vorhanden ist, wenn die Protokolle mit der Aufnahme-API aufgenommen werden.
Wählen Sie eine spezielle Collector-ID aus. Die Collector-ID kann je nach Datenaufnahmemethode auch eine Weiterleiter-ID oder eine spezielle ID sein.
aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: Stellt alle Feeds dar, die mit der Feedverwaltungs-API oder -Seite erstellt wurden. Weitere Informationen zur Feedverwaltung finden Sie unter Feedverwaltung und Feedverwaltung API.
bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: Stellt alle Datenaufnahmequellen dar, die die Methode
unstructuredlogentries
der Datenaufnahme API verwenden. Weitere Informationen zur Ingestion API finden Sie unter Google SecOps Ingestion API.cccccccc-cccc-cccc-cccc-cccccccccccc: steht für alle Aufnahmequellen, die die
udmevents
-Methode der Ingestion API verwenden.dddddddd-dddd-dddd-dddd-dddddddddddd: Stellt die Google Cloud-Protokollaufnahme dar.
eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: steht für die Collector-ID für
CreateEntities
.aaaa1111-aaaa-1111-aaaa-1111aaaa1111: steht für den Erfassungs-Agenten.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
- Legen Sie für das Feld Zeitreihenaggregation die Option Summe fest.
- Legen Sie für das Feld Zeitachsen gruppieren nach den Wert project_id fest.
Optional: Richten Sie eine Benachrichtigungsrichtlinie mit mehreren Bedingungen ein. Informationen zum Erstellen von Aufnahmebenachrichtigungen mit mehreren Bedingungen in einer Benachrichtigungsrichtlinie finden Sie unter Richtlinien mit mehreren Bedingungen.
Google SecOps-Forwarder-Messwerte und zugehörige Filter
In der folgenden Tabelle werden die verfügbaren Messwerte für Google SecOps-Weiterleitungen und die zugehörigen Filter beschrieben.
Google SecOps-Forwarder-Messwert | Filter |
---|---|
Verwendeter Containerarbeitsspeicher | log_type , collector_id |
Verwendeter Containerlaufwerkspeicher | log_type , collector_id |
Container cpu_used | log_type , collector_id |
Drop_count (Logeinträge) | log_type , collector_id , input_type , reason |
buffer_used | log_type , collector_id , buffer_type , input_type |
last_heartbeat | log_type , collector_id , input_type |
Beispielrichtlinie einrichten, um stille Google SecOps-Forwarder zu erkennen
Mit der folgenden Beispielrichtlinie werden alle Google SecOps-Forwarder erkannt und Benachrichtigungen gesendet wenn die Google SecOps-Forwarder 60 Minuten lang keine Logs senden. Dies ist möglicherweise nicht für alle Google SecOps-Forwarder nützlich, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Protokollquelle über einen oder mehrere Google SecOps-Weiterleiter mit einem anderen Grenzwert überwachen oder Google SecOps-Weiterleiter basierend auf der Häufigkeit der Berichte ausschließen.
Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud MonitoringKlicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Aufnahme > Gesamtzahl der aufgenommenen Logs aus.
Klicken Sie auf Anwenden.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
- Legen Sie für das Rollierende Fenster den Wert „1 Stunde“ fest.
- Legen Sie für die Funktion für rollierendes Fenster den Wert Mittelwert fest.
- Legen Sie für die Zeitreihenaggregation die Option Mittelwert fest.
- Legen Sie für Zeitachsen gruppieren nach den Wert collector_id fest. Wenn hier nicht „Gruppieren nach“ collector_id festgelegt ist, wird für jede Logquelle eine Benachrichtigung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
- Wählen Sie für Benachrichtigungstrigger die Option Bei jedem Verstoß aus.
- Setzen Sie Trigger-Abwesenheitszeit auf 1 Stunde.
- Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:
- Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Aus Gründen der Redundanz empfehlen wir, mehrere Benachrichtigungskanäle zu konfigurieren.
- Konfigurieren Sie Benachrichtigungen beim Schließen von Vorfällen.
- Legen Sie die entsprechende Ebene für die Nutzerlabels der Richtlinien fest. Damit wird die Schwere der Benachrichtigung für eine Richtlinie festgelegt.
- Geben Sie alle Dokumente ein, die im Rahmen der Benachrichtigung gesendet werden sollen.
- Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Ausschlüsse zu einer Catchall-Richtlinie hinzufügen
Es kann erforderlich sein, bestimmte Google SecOps-Weiterleiter von einer Catch-all-Richtlinie auszuschließen, da sie möglicherweise nur ein geringes Trafficvolumen haben oder eine benutzerdefinierte Benachrichtigungsrichtlinie erfordern.
Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie auf der Navigationsseite Benachrichtigungen und dann im Bereich Richtlinien die Richtlinie aus, die Sie bearbeiten möchten.
Klicken Sie auf der Seite Richtliniendetails auf Bearbeiten.
Wählen Sie auf der Seite Benachrichtigungsrichtlinie bearbeiten unter Filter hinzufügen die Option Filter hinzufügen aus und führen Sie die folgenden Schritte aus:
- Wählen Sie das Label collector_id und den Collector aus, den Sie von der Richtlinie ausschließen möchten.
- Legen Sie für den Vergleichsoperator
!=
und als Wert diecollector_id
fest, die Sie ausschließen möchten. Klicken Sie dann auf Fertig. - Wiederholen Sie diese Schritte für jeden Collector, der ausgeschlossen werden soll. Sie können auch einen regulären Ausdruck verwenden, um mehrere Messstationen mit nur einem einzigen Filter auszuschließen. Verwenden Sie dazu das folgende Format:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Klicken Sie auf Save Policy (Richtlinie speichern).
Beispielrichtlinie einrichten, um lautlose Google SecOps-Sammel-Agents zu erkennen
Die folgende Beispielrichtlinie erkennt alle Google SecOps-Erfassungsagenten und sendet Benachrichtigungen, wenn die Google SecOps-Erfassungsagenten 60 Minuten lang keine Protokolle senden. Diese Stichprobe ist möglicherweise nicht für alle Google SecOps-Erfassungs-Agents nützlich, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Protokollquelle über einen oder mehrere Google SecOps-Erfassungsagenten mit einem anderen Grenzwert überwachen oder Google SecOps-Erfassungsagenten basierend auf der Häufigkeit der Berichte ausschließen.
Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud MonitoringKlicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Agent > Anzahl der vom Exporter akzeptierten Spans aus.
Klicken Sie auf Anwenden.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
- Legen Sie für das Rollierende Fenster den Wert „1 Stunde“ fest.
- Legen Sie für die Funktion für rollierendes Fenster den Wert Mittelwert fest.
- Legen Sie für die Zeitreihenaggregation die Option Mittelwert fest.
- Legen Sie für Zeitachsen gruppieren nach den Wert collector_id fest. Wenn hier nicht „Gruppieren nach“ collector_id festgelegt ist, wird für jede Logquelle eine Benachrichtigung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
- Wählen Sie für Benachrichtigungstrigger die Option Bei jedem Verstoß aus.
- Setzen Sie Trigger-Abwesenheitszeit auf 1 Stunde.
- Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:
- Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Aus Gründen der Redundanz empfehlen wir, mehrere Benachrichtigungskanäle zu konfigurieren.
- Konfigurieren Sie Benachrichtigungen beim Schließen von Vorfällen.
- Legen Sie die entsprechende Ebene für die Nutzerlabels der Richtlinien fest. Damit wird die Schwere der Benachrichtigung für eine Richtlinie festgelegt.
- Geben Sie alle Dokumente ein, die im Rahmen der Benachrichtigung gesendet werden sollen.
- Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.