Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Monitoring für Aufnahmedaten verwenden

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cloud Monitoring verwenden, um Benachrichtigungen zur Aufnahme zu erhalten. Google SecOps verwendet Cloud Monitoring, um die Benachrichtigungen zum Erfassen zu senden. Mit dieser Funktion können Sie Benachrichtigungen zum Ingest-Vorgang erhalten und das Ingest-Volumen ansehen. Sie können E-Mail-Benachrichtigungen in vorhandene Workflows einbinden. Benachrichtigungen werden ausgelöst, wenn die Ingestionswerte bestimmte vordefinierte Werte erreichen. In der Cloud Monitoring-Dokumentation werden Benachrichtigungen als Benachrichtigungen bezeichnet.

Hinweise

Sie sollten mit Cloud Monitoring vertraut sein.
Konfigurieren Sie ein Google Cloud Projekt für Google SecOps.
Prüfen Sie, ob Ihre Identity and Access Management-Rolle die Berechtigungen der Rolle roles/monitoring.alertPolicyEditor enthält. Weitere Informationen zu Rollen finden Sie unter Zugriff mit IAM steuern.
Machen Sie sich mit dem Erstellen von Benachrichtigungsrichtlinien in Cloud Monitoring vertraut. Informationen zu diesen Schritten finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.
Konfigurieren Sie den Benachrichtigungskanal so, dass Sie Benachrichtigungen zur Aufnahme als E‑Mail erhalten. Informationen zu diesen Schritten finden Sie unter Benachrichtigungskanäle erstellen und verwalten.

Benachrichtigung zur Aufnahme von Gesundheitsmesswerten einrichten

So richten Sie Benachrichtigungen ein, mit denen die Messwerte für den Ingestion-Status speziell für Google SecOps überwacht werden:

Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie im Navigationsbereich Benachrichtigungen und klicken Sie dann auf Richtlinie erstellen.
Klicken Sie auf der Seite Messwert auswählen auf Messwert auswählen.
Klicken Sie im Menü Messwert auswählen auf eine der folgenden Optionen:
- Mit der Ein/Aus-Schaltfläche Aktiv können Sie filtern und nur Ressourcen und Messwerte mit Daten aus den letzten 25 Stunden anzeigen lassen. Wenn Sie diese Option nicht auswählen, werden alle Ressourcen- und Messwerttypen aufgeführt.
- Mit der Ein/Aus-Schaltfläche Organisation/Ordner können Sie Ressourcen und Messwerte wie die Kontingentnutzung von Nutzern oder die BigQuery-Slotzuweisung für Ihre Organisation und Ordner überwachen.
Wählen Sie einen der folgenden Messwerte aus:
- Wählen Sie Chronicle Collector > Ingestion (Chronicle Collector > Aufnahme) und dann entweder Total ingested log count (Gesamtzahl der aufgenommenen Logs) oder Total ingested log size (Gesamtgröße der aufgenommenen Logs) aus.
- Wählen Sie Chronicle Collector > Normalizer und dann entweder Total record count (Gesamtzahl der Datensätze) oder Total event count (Gesamtzahl der Ereignisse) aus.
- Wählen Sie Chronicle-Logtyp> Outofband und dann entweder Anzahl der insgesamt aufgenommenen Logs (Feeds) oder Größe der insgesamt aufgenommenen Logs (Feeds) aus.
Klicken Sie auf Übernehmen.

Filter hinzufügen

Klicken Sie auf der Seite Messwert auswählen auf Filter hinzufügen.
1. Wählen Sie im Filterdialogfeld das Label collector_id, einen Vergleichsoperator und den Filterwert aus.
2. Wählen Sie einen oder mehrere der folgenden Filter aus:
  - project_id: ID des Google Cloud Projekts, das mit dieser Ressource verknüpft ist.
  - location: Der physische Standort des Clusters, der das Collector-Objekt enthält. Wir empfehlen, dieses Feld nicht zu verwenden. Wenn Sie dieses Feld leer lassen, kann Google SecOps vorhandene Informationen verwenden, um automatisch zu bestimmen, wo die Daten gespeichert werden sollen.
  - collector_id: ID des Collectors.
  - log_type: Name des Logtyps.
  - Messwertlabel > namespace: Namespace des Logs.
  - feed_name: Name des Feeds.
  - LogType: Typ des Logs.
  - Messwertlabel > event_type: Der Ereignistyp bestimmt, welche Felder im Ereignis enthalten sind. Der Ereignistyp enthält Werte wie PROCESS_OPEN, FILE_CREATION, USER_CREATION und NETWORK_DNS.
  - Messwertlabel > state: Endgültiger Status des Ereignisses oder Logs. Der Status ist einer der folgenden:
    - parsed: Das Log wurde erfolgreich geparst.
    - validated. Das Protokoll wurde erfolgreich validiert.
    - failed_parsing. Das Log enthält Parsing-Fehler.
    - failed_validation. Das Protokoll enthält Validierungsfehler.
    - failed_indexing. Das Log enthält Batchindexierungsfehler.
  - Messwertlabel > drop_reason_code: Dieses Feld wird ausgefüllt, wenn die Erfassungsquelle der Google SecOps-Forwarder ist. Es gibt den Grund an, warum ein Log während der Normalisierung verworfen wurde.
  - Messwertlabel > ingestion_source: Die Aufnahmequelle, die im Aufnahmelabel vorhanden ist, wenn die Logs über die Ingestion API aufgenommen werden.
3. Wählen Sie eine spezielle Collector-ID aus. collector_id kann auch eine Spediteur-ID oder eine spezielle ID basierend auf der Erfassungsmethode sein:
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa:
    Stellt alle Feeds dar, die mit der Feed Management API oder der Seite erstellt wurden. Weitere Informationen zur Feedverwaltung finden Sie unter Feedverwaltung und Feed Management API.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111:
    Stellt den Erfassungs-Agenten dar, einschließlich Bindplane (Google-Version).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1112:
    Bindplane Enterprise (Google-Version).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1113:
    Bindplane Enterprise.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1114:
    Headless Collector.
  - aaaa2222-aaaa-2222-aaaa-2222aaaa2222:
    Über die HTTPS-Push-Methode aufgenommene Logs, einschließlich Webhooks, Amazon Kinesis Firehose und Google Cloud Pub/Sub-Quelltyp-Feeds.
  - aaaa3333-aaaa-3333-aaaa-3333aaaa3333:
    Cloud Storage-Logs und Logs, die über Event Threat Detection aufgenommen wurden.
  - aaaa4444-aaaa-4444-aaaa-4444aaaa4444:
    Protokolle, die über die Azure Event Hub-Feedintegration aufgenommen wurden. Das gilt auch für Feeds vom Quelltyp „Microsoft Azure Event Hub“.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb:
    Stellt alle Erfassungsquellen dar, die die Ingestion API-Methode unstructuredlogentries verwenden. Weitere Informationen zu Ingestion APIs finden Sie unter Google SecOps Ingestion API.
  - cccccccc-cccc-cccc-cccc-cccccccccccc:
    Stellt alle Erfassungsquellen dar, die die Ingestion API-Methode udmevents verwenden.
  - dddddddd-dddd-dddd-dddd-dddddddddddd:
    Steht für alle Logs, die über die interne API erfasst werden, nicht über die OOB-Prozessor-Erfassung (OutOfBand) und nicht über die Google Cloud Log-Erfassung.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee:
    Stellt die collector_id dar, die für CreateEntities verwendet wird.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
1. Setzen Sie das Feld Zeitachsenaggregation auf Summe.
2. Legen Sie für das Feld Zeitreihen gruppieren nach den Wert project_id fest.

Optional: Richten Sie eine Benachrichtigungsrichtlinie mit mehreren Bedingungen ein. Informationen zum Erstellen von Ingestionsbenachrichtigungen mit mehreren Bedingungen in einer Benachrichtigungsrichtlinie finden Sie unter Richtlinien mit mehreren Bedingungen.

Google SecOps-Forwarder-Messwerte und zugehörige Filter

In der folgenden Tabelle werden die verfügbaren Google SecOps-Forwarder-Messwerte und die zugehörigen Filter beschrieben.

Google SecOps-Forwarder-Messwert	Filter
Verwendeter Container-Arbeitsspeicher	`log_type`, `collector_id`
Verwendeter Container-Festplattenspeicher	`log_type`, `collector_id`
Container-cpu_used	`log_type`, `collector_id`
Log „drop_count“	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Beispielrichtlinie zum Erkennen von stillen Google SecOps-Weiterleitungen einrichten

Die folgende Beispielrichtlinie erkennt alle Google SecOps-Weiterleitungen und sendet Benachrichtigungen, wenn die Google SecOps-Weiterleitungen 60 Minuten lang keine Logs senden. Das ist möglicherweise nicht für alle Google SecOps-Weiterleitungen nützlich, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Logquelle über einen oder mehrere Google SecOps-Forwarder mit einem anderen Schwellenwert überwachen oder Google SecOps-Forwarder basierend auf ihrer Meldehäufigkeit ausschließen.

Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud Monitoring
Klicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Aufnahme > Anzahl der insgesamt aufgenommenen Logs aus.
Klicken Sie auf Übernehmen.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
1. Legen Sie für das rollierende Zeitfenster einen Zeitraum von bis zu einer Stunde* fest.
2. Legen Sie die Funktion für rollierendes Zeitfenster auf Mittelwert fest.
3. Legen Sie für Zeitreihenaggregation die Option Durchschnitt fest.
4. Legen Sie für Zeitreihen gruppieren nach collector_id fest. Wenn dies nicht auf die Gruppierung nach collector_id festgelegt ist, wird für jede Logquelle eine Benachrichtigung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
1. Legen Sie Benachrichtigungstrigger auf Bei jedem Verstoß fest.
2. Legen Sie für Abwesenheitszeit für Trigger einen Zeitraum von bis zu einer Stunde fest.
3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name folgende Schritte aus:
1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Wir empfehlen, mehrere Benachrichtigungskanäle zur Redundanz zu konfigurieren.
2. Benachrichtigungen beim Schließen von Vorfällen konfigurieren
3. Legen Sie die Nutzerlabels für Richtlinien auf einer angemessenen Ebene fest. Mit dieser Einstellung können Sie den Schweregrad von Benachrichtigungen für eine Richtlinie festlegen.
4. Geben Sie alle Dokumente ein, die Sie als Teil der Benachrichtigung senden möchten.
5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.

Ausschlüsse zu einer Auffangrichtlinie hinzufügen

Es kann erforderlich sein, bestimmte Google SecOps-Weiterleitungen aus einer Catch-all-Richtlinie auszuschließen, da sie möglicherweise nur ein geringes Trafficvolumen haben oder eine benutzerdefinierte Benachrichtigungsrichtlinie erfordern.

Wählen Sie in der Google Cloud Console Monitoring aus.
Wählen Sie auf der Navigationsseite Benachrichtigungen und dann im Bereich Richtlinien die Richtlinie aus, die Sie bearbeiten möchten.
Klicken Sie auf der Seite Richtliniendetails auf Bearbeiten.
Wählen Sie auf der Seite Benachrichtigungsrichtlinie bearbeiten im Bereich Filter hinzufügen die Option Filter hinzufügen aus und gehen Sie so vor:
1. Wählen Sie das Label collector_id und den Collector aus, den Sie aus der Richtlinie ausschließen möchten.
2. Legen Sie den Vergleichsoperator auf != und den Wert auf die collector_id fest, die Sie ausschließen möchten, und klicken Sie auf Fertig.
3. Wiederholen Sie den Vorgang für jeden Collector, der ausgeschlossen werden muss. Sie können auch einen regulären Ausdruck verwenden, um mehrere Collectors mit nur einem Filter auszuschließen, wenn Sie das folgende Format verwenden möchten:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Klicken Sie auf Save Policy (Richtlinie speichern).

Beispielrichtlinie zum Erkennen von inaktiven Google SecOps-Erfassungs-Agents einrichten

Die folgende Beispielrichtlinie erkennt alle Google SecOps-Erfassungs-Agents und sendet Benachrichtigungen, wenn die Google SecOps-Erfassungs-Agents 60 Minuten lang keine Logs senden. Dieses Beispiel ist möglicherweise nicht für alle Google SecOps-Erfassungs-Agents nützlich, die Sie überwachen möchten. Sie können beispielsweise eine einzelne Logquelle über einen oder mehrere Google SecOps-Erfassungs-Agents mit einem anderen Schwellenwert überwachen oder Google SecOps-Erfassungs-Agents basierend auf der Häufigkeit ihrer Berichterstellung ausschließen.

Wählen Sie in der Google Cloud Console Monitoring aus.
Zu Cloud Monitoring
Klicken Sie auf Richtlinie erstellen.
Wählen Sie auf der Seite Messwert auswählen die Option Chronicle Collector > Agent > Anzahl der akzeptierten Spans des Exporters aus.
Klicken Sie auf Übernehmen.
Führen Sie im Bereich Daten transformieren folgende Schritte aus:
1. Legen Sie für das rollierende Zeitfenster einen Wert von bis zu einer Stunde* fest.
2. Legen Sie die Funktion für rollierendes Zeitfenster auf Mittelwert fest.
3. Legen Sie für Zeitreihenaggregation die Option Durchschnitt fest.
4. Legen Sie für Zeitreihen gruppieren nach collector_id fest. Wenn dies nicht auf die Gruppierung nach collector_id festgelegt ist, wird für jede Logquelle eine Benachrichtigung ausgelöst.
Klicken Sie auf Weiter.
Wählen Sie Fehlende Messwerte aus und gehen Sie so vor:
1. Legen Sie Benachrichtigungstrigger auf Bei jedem Verstoß fest.
2. Legen Sie Abwesenheitszeit für Trigger auf bis zu 1 Stunde* fest.
3. Geben Sie einen Namen für die Bedingung ein und klicken Sie auf Weiter.
Führen Sie im Abschnitt Benachrichtigungen und Name folgende Schritte aus:
1. Wählen Sie im Feld Benachrichtigungskanal verwenden einen Benachrichtigungskanal aus. Wir empfehlen, mehrere Benachrichtigungskanäle zur Redundanz zu konfigurieren.
2. Benachrichtigungen beim Schließen von Vorfällen konfigurieren
3. Legen Sie die Nutzerlabels für Richtlinien auf einer angemessenen Ebene fest. Damit wird der Schweregrad der Benachrichtigung für eine Richtlinie festgelegt.
4. Geben Sie alle Dokumente ein, die als Teil der Benachrichtigung gesendet werden sollen.
5. Geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.

Gesamtaufnahme nach Logtyp ansehen

So rufen Sie die Aufnahmevolumen nach Logtyp in Cloud Monitoring auf:

Wählen Sie auf der Seite Einstellungen die Option Profil aus.
Wählen Sie Ihr Cloud Monitoring-Profil aus.
Geben Sie auf der Seite Profil in der Suchleiste Integrationen ein.
Wählen Sie Metrics Explorer aus.
Klicken Sie auf promQL, um in den PromQL-Abfragemodus zu wechseln.
Kopieren Sie im Feld Abfragen Folgendes:

sum by (log_type) (increase(chronicle_googleapis_com:ingestion_log_bytes_count{monitored_resource="chronicle.googleapis.com/Collector"}[1h]))
Optional: Filtern Sie nach einem bestimmten Logtyp und fügen Sie ihn in die Abfrage ein.

Wenn Sie beispielsweise die Aufnahme für den Logtyp GCP_CLOUDAUDIT aufrufen möchten, sieht die Abfrage so aus:

`sum(increase(chronicle_googleapis_com:ingestion_log_bytes_count{monitored_resource="chronicle.googleapis.com/Collector",log_type="GCP_CLOUDAUDIT"}[1h]))`

Wählen Sie im Bereich Ergebnisse den Tab Tabelle aus, um die zusammengefassten Daten aufzurufen.
Optional: Passen Sie den Zeitraum nach Bedarf an.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten