Cloud Monitoring für Aufnahmebenachrichtigungen verwenden

In diesem Dokument wird beschrieben, wie Sie Cloud Monitoring verwenden, um Aufnahmebenachrichtigungen zu erhalten. Google SecOps verwendet Cloud Monitoring, um die Aufnahmebenachrichtigungen zu senden. Mit dieser Funktion können Sie die Probleme proaktiv beheben. Sie können E-Mail-Benachrichtigungen in die vorhandenen Workflows integrieren. Benachrichtigungen werden ausgelöst, wenn die Aufnahmewerte bestimmte vordefinierte Werte erreichen. In der Cloud Monitoring-Dokumentation werden Benachrichtigungen als Benachrichtigungen bezeichnet.

Hinweise

• Machen Sie sich mit Cloud Monitoring vertraut.

• Konfigurieren Sie ein Google Cloud-Projekt für Google SecOps.

• Ihre Rolle für Identity and Access Management muss die Berechtigungen der Rolle roles/monitoring.alertPolicyEditor enthalten. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung.

• Sie sollten mit dem Erstellen von Benachrichtigungsrichtlinien in Cloud Monitoring vertraut sein. Informationen zu diesen Schritten finden Sie unter Benachrichtigungen erstellen.

• Konfigurieren Sie den Benachrichtigungskanal als E-Mail, um Aufnahmebenachrichtigungen zu erhalten. Informationen zu diesen Schritten finden Sie unter Benachrichtigungskanäle verwalten.

Benachrichtigung zur Datenaufnahme für Gesundheitsmesswerte einrichten

So richten Sie Benachrichtigungen ein, die für Google SecOps spezifische Messwerte zum Aufnahmezustand überwachen:

1. Wählen Sie in der Google Cloud Console Monitoring aus.

2. Wählen Sie im Navigationsbereich Benachrichtigungen aus und klicken Sie dann auf Richtlinie erstellen.

3. Klicken Sie auf der Seite Messwert auswählen auf Messwert auswählen.

4. Klicken Sie im Menü Messwert auswählen auf eine der folgenden Optionen:

   • Aktiv, um nur Ressourcen und Messwerte mit Daten aus den letzten 25 Stunden zu filtern und anzuzeigen. Wenn Sie diese Option nicht auswählen, werden alle Ressourcen- und Messwerttypen aufgeführt.
   • Ein/Aus-Schaltfläche auf Organisations-/Ordnerebene zum Überwachen von Ressourcen und Messwerten, z. B. Nutzer Kontingentnutzung oder BigQuery-Slotzuweisung für Ihre Organisation und Ordner.

5. Wählen Sie einen der folgenden Messwerte aus:

   • Wählen Sie Chronicle Collector > Ingestion (Chronicle Collector) > Datenaufnahme und dann entweder Gesamtaufnahme der Loganzahl oder Gesamtgröße der aufgenommenen Logs aus.

   • Wählen Sie Chronicle Collector > Normalizer und dann entweder Gesamtzahl der Datensätze oder Ereignisanzahl insgesamt aus.

   • Wählen Sie Chronicle-Protokolltyp > Outofband und dann entweder Gesamtzahl der aufgenommenen Logs (Feeds) oder Gesamtgröße der aufgenommenen Logs (Feeds) aus.

6. Klicken Sie auf Anwenden.

7. Wenn Sie einen Filter hinzufügen möchten, klicken Sie auf der Seite Messwert auswählen auf Filter hinzufügen. Wählen Sie im Dialogfeld „Filter“ das Label collector_id, einen Vergleichsoperator und dann den Filterwert aus.

   • Wählen Sie einen oder mehrere der folgenden Filter aus:

     • project_id: Die ID des Google Cloud-Projekts, das mit dieser Ressource verknüpft ist.

     • location: Der physische Standort des Clusters, der das Collector-Objekt enthält. Wir empfehlen, dieses Feld nicht zu verwenden. Wenn Sie dieses Feld leer lassen, kann Google Security Operations anhand von bereits vorhandenen Informationen automatisch ermitteln, wo die Daten gespeichert werden sollen.

     • collector_id: Die ID des Collectors.

     • log_type: Der Name des Logtyps.

     • Messwertlabel > namespace: Der Namespace des Logs.

     • Feed_name: Der Name des Feeds.

     • LogType: Der Logtyp.

     • Messwertlabel > event_type: Durch den Ereignistyp wird bestimmt, welche Felder im Ereignis enthalten sind. Der Ereignistyp enthält Werte wie PROCESS_OPEN, FILE_CREATION, USER_CREATION und NETWORK_DNS.

     • Messwertlabel > state: Der endgültige Status des Ereignisses oder Protokolls. Der Status ist einer der folgenden:

       • parsed Das Protokoll wurde erfolgreich geparst.
       • validated Das Protokoll wurde erfolgreich validiert.
       • failed_parsing Das Protokoll weist Parsing-Fehler auf.
       • failed_validation Das Protokoll enthält Validierungsfehler.
       • failed_indexing Das Log enthält Batch-Indexierungsfehler.

     • Messwertlabel > drop_reason_code: Dieses Feld wird ausgefüllt, wenn die Aufnahmequelle der Google SecOps-Forwarder ist, und gibt den Grund an, warum ein Log während der Normalisierung gelöscht wurde.

     • Messwertlabel > ingestion_source: Die Aufnahmequelle, die im Aufnahmelabel vorhanden ist, wenn die Logs mit der Ingestion API aufgenommen werden.

   • Wählen Sie eine spezielle Collector-ID aus. Die Collector-ID kann auch eine Forwarder-ID oder eine spezielle ID sein, die auf der Aufnahmemethode basiert.

     • aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: steht für alle Feeds, die mit der Feed Management API oder -Seite erstellt wurden. Weitere Informationen zur Feedverwaltung finden Sie unter Feedverwaltung und Feed Management API.

     • bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: steht für alle Aufnahmequellen, die die Methode unstructuredlogentries der Ingestion API verwenden. Weitere Informationen zur Ingestion API finden Sie unter Google SecOps Ingestion API.

     • cccccccc-cccc-cccc-cccc-cccccccccccc: steht für alle Aufnahmequellen, die die udmevents-Methode der Ingestion API verwenden.

     • dddddddd-dddd-dddd-dddd-dddddddddddd: steht für die Google Cloud-Logaufnahme

     • eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: steht für die Collector-ID für CreateEntities.

     • aaaa1111-aaaa-1111-aaaa-1111aaaa1111: steht für den Inkasso-Agent.

8. Führen Sie im Abschnitt Daten transformieren die folgenden Schritte aus:

   1. Setzen Sie das Feld Zeitreihenaggregation auf sum.
   2. Legen Sie für das Feld Zeitachsen gruppieren nach den Wert project_id fest.

9. Optional: Richten Sie eine Benachrichtigungsrichtlinie mit mehreren Bedingungen ein. Informationen zum Erstellen von Aufnahmebenachrichtigungen mit mehreren Bedingungen in einer Benachrichtigungsrichtlinie finden Sie unter Richtlinien mit mehreren Bedingungen.

Google SecOps-Forwarder-Messwerte und zugehörige Filter

In der folgenden Tabelle werden die verfügbaren Google SecOps-Forwarder-Messwerte und die zugehörigen Filter beschrieben.

Google SecOps-Forwarder-Messwert	Filter
Verwendeter Containerarbeitsspeicher	log_type, collector_id
Verwendetes Containerlaufwerk	log_type, collector_id
Verwendete Container-CPU	log_type, collector_id
Drop_count (Logeinträge)	log_type, collector_id, input_type, reason
buffer_used	log_type, collector_id, buffer_type, input_type
last_heartbeat	log_type, collector_id, input_type

Beispielrichtlinie einrichten, um stille Google SecOps-Forwarder zu erkennen

Mit der folgenden Beispielrichtlinie werden alle Google SecOps-Forwarder erkannt und Benachrichtigungen gesendet wenn die Google SecOps-Forwarder 60 Minuten lang keine Logs senden. Dies ist möglicherweise nicht für alle Google SecOps-Forwarder nützlich, die Sie überwachen möchten. Beispielsweise können Sie eine einzelne Logquelle für eine oder mehrere Google SecOps-Forwarder mit einem anderen Grenzwert oder Ausschluss von Google SecOps-Forwardern basierend auf ihrer Berichtshäufigkeit.

1. Wählen Sie in der Google Cloud Console Monitoring aus.
   Zu Cloud Monitoring
   

2. Klicken Sie auf Richtlinie erstellen.

3. Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Aufnahme > Gesamtzahl der aufgenommenen Logs aus.

4. Klicken Sie auf Anwenden.

5. Führen Sie im Abschnitt Daten transformieren die folgenden Schritte aus:

   1. Legen Sie für Schrittweises Zeitfenster eine Stunde fest.
   2. Legen Sie für die Funktion für rollierendes Fenster den Wert Mittelwert fest.
   3. Legen Sie Zeitreihenaggregation auf mean fest.
   4. Legen Sie für Zeitachsen gruppieren nach den Wert collector_id fest. Wenn hier nicht „Gruppieren nach“ collector_id festgelegt ist, wird für jede Logquelle eine Benachrichtigung ausgelöst.

6. Klicken Sie auf Weiter.

7. Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:

   1. Setzen Sie Trigger für Benachrichtigungen auf Any time timeseries violation (Verstoß einer beliebigen Zeitreihe).
   2. Setzen Sie Trigger-Abwesenheitszeit auf 1 Stunde.
   3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.

8. Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:

   1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Aus Gründen der Redundanz empfehlen wir, mehrere Benachrichtigungskanäle zu konfigurieren.
   2. Konfigurieren Sie Benachrichtigungen beim Schließen von Vorfällen.
   3. Legen Sie die entsprechende Ebene für die Nutzerlabels der Richtlinien fest. Damit wird der Schweregrad der Benachrichtigung für eine Richtlinie festgelegt.
   4. Geben Sie alle Dokumente ein, die im Rahmen der Benachrichtigung gesendet werden sollen.
   5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.

Ausschlüsse zu einer Catchall-Richtlinie hinzufügen

Möglicherweise müssen bestimmte Google SecOps-Forwarder ausgeschlossen werden da sie nur ein geringes Traffic-Volumen aufweisen oder benutzerdefinierte Benachrichtigungsrichtlinie.

1. Wählen Sie in der Google Cloud Console Monitoring aus.

2. Wählen Sie auf der Navigationsseite Benachrichtigungen und dann im Abschnitt Richtlinien die Richtlinie aus, die Sie bearbeiten möchten.

3. Klicken Sie auf der Seite Richtliniendetails auf Bearbeiten.

4. Wählen Sie auf der Seite Benachrichtigungsrichtlinie bearbeiten im Abschnitt Filter hinzufügen die Option Filter hinzufügen aus und gehen Sie so vor:

   1. Wählen Sie das Label collector_id und den Collector aus, den Sie von der Richtlinie ausschließen möchten.
   2. Legen Sie für den Vergleichsoperator != und als Wert die collector_id fest, die Sie ausschließen möchten. Klicken Sie dann auf Fertig.
   3. Wiederholen Sie diese Schritte für jeden Collector, der ausgeschlossen werden soll. Wenn Sie das folgende Format verwenden möchten, können Sie auch einen regulären Ausdruck verwenden, um mehrere Collectors mit nur einem Filter auszuschließen:

   (?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)

5. Klicken Sie auf Save Policy (Richtlinie speichern).

Beispielrichtlinie einrichten, um stille Google SecOps-Sammel-Agents zu erkennen

Mit der folgenden Beispielrichtlinie werden alle Google SecOps-Erfassungs-Agents erkannt und Benachrichtigungen gesendet Die Google SecOps-Agents zur Erfassung von Daten senden 60 Minuten lang keine Logs. Diese Stichprobe ist möglicherweise nicht für alle Google SecOps-Erfassungs-Agents nützlich, die Sie überwachen möchten. Beispielsweise können Sie eine einzelne Logquelle für eine oder mehrere Google SecOps-Inkassomitarbeiter mit einem anderen Grenzwert oder Ausschluss von Google SecOps-Inkassomitarbeitern basierend auf ihrer Berichtshäufigkeit.

1. Wählen Sie in der Google Cloud Console Monitoring aus.
   Zu Cloud Monitoring
   

2. Klicken Sie auf Richtlinie erstellen.

3. Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Agent > Anzahl der vom Exporter akzeptierten Spans aus.

4. Klicken Sie auf Anwenden.

5. Führen Sie im Abschnitt Daten transformieren die folgenden Schritte aus:

   1. Legen Sie für Schrittweises Zeitfenster eine Stunde fest.
   2. Legen Sie für die Funktion für rollierendes Fenster den Wert Mittelwert fest.
   3. Legen Sie Zeitreihenaggregation auf mean fest.
   4. Legen Sie für Zeitachsen gruppieren nach den Wert collector_id fest. Wenn hier nicht „Gruppieren nach“ collector_id festgelegt ist, wird für jede Logquelle eine Benachrichtigung ausgelöst.

6. Klicken Sie auf Weiter.

7. Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:

   1. Setzen Sie Trigger für Benachrichtigungen auf Any time timeseries violation (Verstoß einer beliebigen Zeitreihe).
   2. Setzen Sie Trigger-Abwesenheitszeit auf 1 Stunde.
   3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.

8. Führen Sie im Abschnitt Benachrichtigungen und Name die folgenden Schritte aus:

   1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Aus Gründen der Redundanz empfehlen wir, mehrere Benachrichtigungskanäle zu konfigurieren.
   2. Konfigurieren Sie Benachrichtigungen beim Schließen von Vorfällen.
   3. Legen Sie die entsprechende Ebene für die Nutzerlabels der Richtlinien fest. Damit wird der Schweregrad der Benachrichtigung für eine Richtlinie festgelegt.
   4. Geben Sie alle Dokumente ein, die im Rahmen der Benachrichtigung gesendet werden sollen.
   5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.