Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Monitoring für Aufnahmebenachrichtigungen verwenden

In diesem Dokument wird beschrieben, wie Sie Cloud Monitoring verwenden, um Benachrichtigungen über die Datenaufnahme zu erhalten. Google Security Operations verwendet Cloud Monitoring, um die Aufnahmebenachrichtigungen zu senden. Mithilfe dieser Funktion können Sie die Probleme proaktiv beheben. Sie können E-Mail-Benachrichtigungen in die bestehenden Workflows integrieren. Benachrichtigungen werden ausgelöst, wenn die Aufnahmewerte bestimmte vordefinierte Ebenen erreichen. In der Cloud Monitoring-Dokumentation werden Benachrichtigungen als Benachrichtigungen bezeichnet.

Hinweise

Machen Sie sich mit Cloud Monitoring vertraut.
Konfigurieren Sie ein Google Cloud-Projekt für Google Security Operations.
Ihre Rolle von Identity and Access Management muss die Berechtigungen der Rolle roles/monitoring.alertPolicyEditor enthalten. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung.
Machen Sie sich mit dem Erstellen von Benachrichtigungsrichtlinien in Cloud Monitoring vertraut. Informationen zu diesen Schritten finden Sie unter Benachrichtigungen erstellen.
Konfigurieren Sie den Benachrichtigungskanal als E-Mail, um Benachrichtigungen über die Datenaufnahme zu erhalten. Informationen zu diesen Schritten finden Sie unter Benachrichtigungskanäle verwalten.

Benachrichtigung zur Aufnahme von Gesundheitsmesswerten einrichten

So richten Sie Benachrichtigungen ein, mit denen die Integritätsmesswerte für die Aufnahme von Google Security Operations überwacht werden:

Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie im Navigationsbereich Benachrichtigungen aus und klicken Sie dann auf Richtlinie erstellen.
Klicken Sie auf der Seite Messwert auswählen auf Messwert auswählen.
Klicken Sie im Menü Messwert auswählen auf eine der folgenden Optionen:
- Aktiv, um nur Ressourcen und Messwerte mit Daten aus den letzten 25 Stunden zu filtern und anzuzeigen. Wenn Sie diese Option nicht auswählen, werden alle Ressourcen- und Messwerttypen aufgelistet.
- Ein/Aus-Schaltfläche auf Organisations-/Ordnerebene zum Überwachen von Ressourcen und Messwerten wie der Kontingentnutzung von Nutzern oder der BigQuery-Slotzuweisung für Ihre Organisation und Ordner.
Wählen Sie einen der folgenden Messwerte aus:
- Wählen Sie Chronicle Collector > Aufnahme und dann entweder Gesamtzahl der aufgenommenen Logs oder Gesamtgröße der aufgenommenen Logs aus.
- Wählen Sie Chronicle Collector > Normalizer und dann Gesamtzahl der Datensätze oder Gesamtzahl der Ereignisse aus.
- Wählen Sie Chronicle-Logtyp > Outofband und dann Gesamtzahl der aufgenommenen Logs (Feeds) oder Gesamtgröße der aufgenommenen Logs (Feeds) aus.
Klicken Sie auf Anwenden.
Wenn Sie einen Filter hinzufügen möchten, klicken Sie auf der Seite Messwert auswählen auf Filter hinzufügen. Wählen Sie im Dialogfeld „Filter“ das Label collector_id, einen Vergleichsoperator und dann den Filterwert aus.
- Wählen Sie einen oder mehrere der folgenden Filter aus:
  - project_id: Die ID des Google Cloud-Projekts, das mit dieser Ressource verknüpft ist.
  - location: Der physische Standort des Clusters, der das Collector-Objekt enthält. Wir empfehlen, dieses Feld nicht zu verwenden. Wenn Sie dieses Feld leer lassen, kann Google Security Operations anhand bereits vorhandener Informationen automatisch ermitteln, wo die Daten gespeichert werden sollen.
  - collector_id: ID des Collectors.
  - log_type: Der Name des Logtyps.
  - Messwertlabel > namespace: Der Namespace des Logs.
  - Feed_name: Der Name des Feeds.
  - LogType: Der Logtyp.
  - Messwertlabel > event_type: Der Ereignistyp bestimmt, welche Felder im Ereignis enthalten sind. Der Ereignistyp enthält Werte wie PROCESS_OPEN, FILE_CREATION, USER_CREATION und NETWORK_DNS.
  - Messwertlabel > Status: Der endgültige Status des Ereignisses oder Logs. Folgende Status sind möglich:
    - parsed. Das Log wurde geparst.
    - validated: Das Log wurde bestätigt.
    - failed_parsing: Das Protokoll enthält Parsing-Fehler.
    - failed_validation. Das Log enthält Validierungsfehler.
    - failed_indexing: Das Protokoll enthält Batchindexierungsfehler.
  - Messwertlabel > drop_reason_code: Dieses Feld wird ausgefüllt, wenn die Aufnahmequelle der Google Security Operations-Forwarder ist, und gibt den Grund an, warum ein Log während der Normalisierung gelöscht wurde.
  - Messwertlabel > ingestion_source: Die Aufnahmequelle, die im Aufnahmelabel vorhanden ist, wenn die Logs über die Aufnahme-API aufgenommen werden.
- Wählen Sie eine spezielle Collector-ID aus. Die Collector-ID kann auch eine Forwarder-ID oder eine spezielle ID sein, die auf der Aufnahmemethode basiert.
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: Alle Feeds, die mit der Feed Management API oder -Seite erstellt wurden. Weitere Informationen zur Feedverwaltung finden Sie unter Feedverwaltung und Feedverwaltungs-API.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: Stellt alle Aufnahmequellen dar, die die Ingestion API-Methode unstructuredlogentries verwenden. Weitere Informationen zur Ingestion API findest du unter Google Security Operations Ingestion API.
  - cccccccc-cccc-cccc-cccc-cccccccccccc: Stellt alle Aufnahmequellen dar, die die udmevents-Methode der Ingestion API verwenden.
  - dddddddd-dddd-dddd-dddd-dddddddddddd: Repräsentiert die Google Cloud-Logaufnahme.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: Die Collector-ID, die für CreateEntities verwendet wird.
Führen Sie im Abschnitt Daten transformieren die folgenden Schritte aus:
1. Setzen Sie das Feld Zeitachsenaggregation auf Summe.
2. Setzen Sie das Feld Zeitachsen gruppieren nach auf project_id.
Optional: Richten Sie eine Benachrichtigungsrichtlinie mit mehreren Bedingungen ein. Informationen zum Erstellen von Aufnahmebenachrichtigungen mit mehreren Bedingungen innerhalb einer Benachrichtigungsrichtlinie finden Sie unter Richtlinien mit mehreren Bedingungen.

Google Security Operations-Forwarder-Messwerte und zugehörige Filter

In der folgenden Tabelle werden die verfügbaren Google Security Operations-Forwarder-Messwerte und die zugehörigen Filter beschrieben.

Google Security Operations-Forwarder-Messwert	Filtern
Belegter Containerarbeitsspeicher	`log_type`, `collector_id`
Verwendetes Containerlaufwerk	`log_type`, `collector_id`
Container „cpu_used“	`log_type`, `collector_id`
Log-drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Beispielrichtlinie einrichten, um stille Google Security Operations-Forwarder zu erkennen

Die folgende Beispielrichtlinie erkennt alle Google Security Operations-Forwarder und sendet Benachrichtigungen, wenn die Google Security Operations-Forwarder 60 Minuten lang keine Protokolle senden. Dies ist möglicherweise nicht für alle Google Security Operations-Forwarder nützlich, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Protokollquelle für einen oder mehrere Google Security Operations-Forwarder mit einem anderen Grenzwert überwachen oder Google Security Operations-Forwarder basierend auf ihrer Meldehäufigkeit ausschließen.

Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud Monitoring
Klicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Aufnahme > Gesamtzahl der aufgenommenen Logs aus.
Klicken Sie auf Anwenden.
Führen Sie im Abschnitt Daten transformieren die folgenden Schritte aus:
1. Legen Sie das Rollierende Fenster auf 1 Stunde fest.
2. Setzen Sie die Funktion für rollende Fenster auf mean.
3. Setzen Sie Zeitreihenaggregation auf mean.
4. Legen Sie Zeitachsen gruppieren nach auf collector_id fest. Wenn dies nicht auf „Gruppieren nach“ collector_id festgelegt ist, wird für jede Logquelle eine Warnung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
1. Setzen Sie Trigger für Benachrichtigungen auf Bei jedem Verstoß.
2. Stellen Sie die Triggerabwesenheitszeit auf 1 Stunde ein.
3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:
1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Wir empfehlen, aus Gründen der Redundanz mehrere Benachrichtigungskanäle zu konfigurieren.
2. Konfigurieren Sie Benachrichtigungen zum Schließen von Vorfällen.
3. Legen Sie die Nutzerlabels für Richtlinien auf die entsprechende Ebene fest. Damit wird der Schweregrad der Benachrichtigung für eine Richtlinie festgelegt.
4. Geben Sie alle Dokumente ein, die Sie als Teil der Benachrichtigung senden möchten.
5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.

Ausschlüsse zu einer Catchall-Richtlinie hinzufügen

Es kann erforderlich sein, bestimmte Google Security Operations-Forwarder aus einer Catchall-Richtlinie auszuschließen, weil sie nur ein geringes Trafficvolumen haben oder eine benutzerdefinierte Benachrichtigungsrichtlinie erfordern.

Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie auf der Navigationsseite Benachrichtigungen und dann im Abschnitt Richtlinien die Richtlinie aus, die Sie bearbeiten möchten.
Klicken Sie auf der Seite Richtliniendetails auf Bearbeiten.
Wählen Sie auf der Seite Benachrichtigungsrichtlinie bearbeiten im Abschnitt Filter hinzufügen die Option Filter hinzufügen aus und gehen Sie so vor:
1. Wählen Sie das Label collector_id und den Collector aus, den Sie von der Richtlinie ausschließen möchten.
2. Legen Sie den Vergleichsoperator auf != und den Wert collector_id fest, den Sie ausschließen möchten. Klicken Sie dann auf Fertig.
3. Wiederholen Sie diese Schritte für jeden Collector, der ausgeschlossen werden soll. Wenn Sie das folgende Format verwenden möchten, können Sie auch einen regulären Ausdruck verwenden, um mehrere Collectors mit nur einem Filter auszuschließen:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Klicken Sie auf Save Policy (Richtlinie speichern).