Se usó la API de Cloud Translation para traducir esta página.

Usa Cloud Monitoring para las notificaciones de transferencia

Compatible con:

SecOps de Google SIEM

En este documento, se describe cómo usar Cloud Monitoring para recibir notificaciones de transferencia. Google SecOps usa Cloud Monitoring para enviar las notificaciones de transferencia. Con esta función, puedes abordar los problemas de manera proactiva. Puedes integrar las notificaciones por correo electrónico en los flujos de trabajo existentes. Las notificaciones se activan cuando los valores de transferencia alcanzan ciertos niveles predefinidos. En la documentación de Cloud Monitoring, las notificaciones se denominan alertas.

Antes de comenzar

Asegúrate de conocer Cloud Monitoring.
Configura un proyecto de Google Cloud para Google SecOps.
Asegúrate de que tu rol de Identity and Access Management incluya los permisos del rol roles/monitoring.alertPolicyEditor. Para obtener más información sobre las funciones, consulta Control de acceso.
Asegúrate de estar familiarizado con la creación de políticas de alertas en Cloud Monitoring. Para obtener información sobre estos pasos, consulta Crea alertas.
Configura el canal de notificaciones como correo electrónico para recibir notificaciones de transferencia. Para obtener más información sobre estos pasos, consulta Administra canales de notificaciones.

Configura la notificación de transferencia para las métricas de estado

Para configurar notificaciones que supervisen las métricas de estado de transferencia específicas de Google SecOps, haz lo siguiente:

En la consola de Google Cloud, selecciona Monitoring:
En el panel de navegación, selecciona Alertas y, luego, haz clic en Crear política.
En la página Seleccionar una métrica, haz clic en Seleccionar una métrica.
En el menú Seleccionar una métrica, haz clic en cualquiera de las siguientes opciones:
- Botón de activación Activo para filtrar y mostrar solo los recursos y las métricas con datos de las últimas 25 horas. Si no seleccionas esta opción, se enumeran todos los tipos de recursos y métricas.
- Botón de activación de nivel de organización/carpeta para supervisar recursos y métricas, como los o la asignación de ranura de BigQuery para tu organización y tus carpetas.
Selecciona cualquiera de las siguientes métricas:
- Selecciona Recopilador de Chronicle > Transferencia y, luego, Recuento total de registros transferidos o Tamaño total de registros transferidos.
- Selecciona Chronicle Collector > Normalizer y, luego, selecciona Total record count o Total event count.
- Selecciona Tipo de registro de Chronicle > Fuera de banda y, luego, selecciona Cantidad total de registros transferidos (Feeds) o Tamaño total de registros transferidos (Feeds).
Haz clic en Aplicar.
Para agregar un filtro, en la página Seleccionar una métrica, haz clic en Agregar filtro. En el diálogo de filtro, selecciona la etiqueta collector_id, un comparador y, luego, el valor del filtro.
- Selecciona uno o más de los siguientes filtros:
  - project_id: Es el identificador del proyecto de Google Cloud asociado con este recurso.
  - location: Es la ubicación física del clúster que contiene el objeto colector. Te recomendamos que no uses este campo. Si dejas este campo vacío, Google Security Operations puede usar la información que ya tiene para determinar automáticamente dónde almacenar los datos.
  - collector_id: Es el ID del recopilador.
  - log_type: Es el nombre del tipo de registro.
  - Etiqueta de métrica > namespace: Es el espacio de nombres del registro.
  - Feed_name: Es el nombre del feed.
  - LogType: Es el tipo de registro.
  - Etiqueta de métrica > event_type: El tipo de evento determina qué campos se incluyen en el evento. El tipo de evento incluye valores como PROCESS_OPEN, FILE_CREATION, USER_CREATION y NETWORK_DNS.
  - Etiqueta de métrica > state: El estado final del evento o registro. El estado es uno de los siguientes:
    - parsed El registro se analizó correctamente.
    - validated El registro se validó correctamente.
    - failed_parsing El registro tiene errores de análisis.
    - failed_validation El registro tiene errores de validación.
    - failed_indexing El registro tiene errores de indexación por lotes.
  - Etiqueta de métrica > drop_reason_code: Este campo se propaga si la fuente de transferencia es el servidor de reenvío de Google SecOps y también indica el motivo por el que se descartó un registro durante la normalización.
  - Etiqueta de métrica > ingestion_source: Es la fuente de transferencia presente en la etiqueta de transferencia cuando los registros se transfieren con la API de transferencia.
- Selecciona un ID de colector especial. El ID del recopilador también puede ser un ID de reenvío o un ID especial según el método de transferencia.
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: Representa todos los feeds creados con la API o la página de administración de feeds. Para obtener más información sobre la administración de feeds, consulta Administración de feeds y API de administración de feeds.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: que representa todas las fuentes de transferencia que usan el método unstructuredlogentries de la API de transferencia. Para obtener más información sobre la API de transferencia, consulta API de transferencia de Google SecOps.
  - cccccccc-cccc-cccc-cccc-cccccccccccc: Representa todas las fuentes de transferencia que usan el método udmevents de la API de transferencia.
  - dddddddd-dddd-dddd-dddd-dddddddddddd: Representa transferencia de registro de Google Cloud.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: Representa el ID de colector que se usa para CreateEntities.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111: representa al agente de recolección.
En la sección Transforma los datos, haz lo siguiente:
1. Establece el campo Agregación de series temporales como sum.
2. Establece el campo Agrupar por en project_id.
Opcional: Configura una política de alertas con varias condiciones. Para crear notificaciones de transferencia con varias condiciones dentro de una política de alertas, consulta Políticas con varias condiciones.

Métricas del reenviador de Google SecOps y filtros asociados

En la siguiente tabla, se describen las métricas de reenvío de Google SecOps disponibles y los filtros asociados.

Métrica de servidores de reenvío de Google SecOps	Filtro
Memoria de contenedor usada	`log_type`, `collector_id`
Disco de contenedor utilizado	`log_type`, `collector_id`
Contenedor cpu_used	`log_type`, `collector_id`
Recuento de registros drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Configura una política de muestra para detectar los servidores de reenvío silenciosos de Google SecOps

La siguiente política de ejemplo detecta todos los servidores de reenvío de Google SecOps y envía alertas. si los servidores de reenvío de Google SecOps no envían registros durante 60 minutos. Es posible que esto no sea útil para todos los servidores de reenvío de Google SecOps que quieras supervisar. Por ejemplo, puedes supervisar una sola fuente de registro en uno o varios reenviadores de Google SecOps con un umbral diferente, o bien excluir los reenviadores de Google SecOps según su frecuencia de informes.

En la consola de Google Cloud, selecciona Monitoring:
Ir a Cloud Monitoring
Haz clic en Crear política.
En la página Selecciona una métrica, elige Recopilador de Chronicle > Transferencia > Recuento total de registros transferidos.
Haz clic en Aplicar.
En la sección Transforma los datos, haz lo siguiente:
1. Configura la ventana progresiva en 1 hora.
2. Establece la función de ventana progresiva como media.
3. Establece Agregación de serie temporal como media.
4. Establece Time series group by en collector_id. Si no se configura como agrupado por collector_id, se activa una alerta para cada fuente de registro.
Haz clic en Siguiente.
Selecciona Ausencia de métricas y haz lo siguiente:
1. Establece Activador de alertas (Alert trigger) en Cualquier serie temporal es una infracción.
2. Establece el Tiempo de ausencia del activador en 1 hora.
3. Ingresa un nombre para la condición y, luego, haz clic en Siguiente.
En la sección Notificaciones y nombre, haz lo siguiente:
1. Selecciona un canal de notificaciones en el cuadro Usar canal de notificaciones. Te recomendamos que configures varios canales de notificaciones con fines de redundancia.
2. Configura las notificaciones sobre el cierre del incidente.
3. Establece las etiquetas de usuario de la política en un nivel adecuado. Se usa para establecer el nivel de gravedad de la alerta de una política.
4. Ingresa toda la documentación que desees que se envíe como parte de la alerta.
5. Ingresa un nombre para la política de alertas.

Agregue exclusiones a una política genérica

Es posible que sea necesario excluir ciertos servidores de reenvío de Google SecOps de una política genérica, ya que es posible que solo tengan volúmenes de tráfico bajos o que requieran una política de alertas más personalizada.

En la consola de Google Cloud, selecciona Monitoring:
En la página de navegación, selecciona Alertas y, luego, en la sección Políticas, selecciona la política que deseas editar.
En la página Detalles de la política, haz clic en Editar.
En la página Editar política de alertas, en la sección Agregar filtros, selecciona Agregar un filtro y haz lo siguiente:
1. Selecciona la etiqueta collector_id y el colector que deseas excluir de la política.
2. Establece el comparador en != y el valor en el collector_id que deseas excluir y, luego, haz clic en Listo.
3. Repite el proceso para cada recopilador que deba excluirse. También puedes usar una expresión regular para excluir varios recopiladores con un solo filtro si deseas usar el siguiente formato:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Haz clic en Guardar política.

Configura una política de muestra para detectar agentes de recopilación silenciosos de Google SecOps

La siguiente política de ejemplo detecta todos los agentes de recopilación de Google SecOps y envía alertas. si los agentes de recopilación de Google SecOps no envían registros durante 60 minutos. Es posible que esta muestra no sea útil para todos los agentes de recopilación de Google SecOps que desees supervisar. Por ejemplo, puedes supervisar una sola fuente de registro en uno o varios agentes de recopilación de Google SecOps con un umbral diferente, o bien excluir agentes de recopilación de Google SecOps según su frecuencia de informes.

En la consola de Google Cloud, selecciona Monitoring:
Ir a Cloud Monitoring
Haz clic en Crear política.
En la página Selecciona una métrica, elige Chronicle Collector > Agent > Exporter Accepted Spans Count.
Haz clic en Aplicar.
En la sección Transforma los datos, haz lo siguiente:
1. Configura la ventana progresiva en 1 hora.
2. Establece la función de ventana progresiva como media.
3. Establece Agregación de serie temporal como media.
4. Establece Time series group by en collector_id. Si no se configura como agrupado por collector_id, se activa una alerta para cada fuente de registro.
Haz clic en Siguiente.
Selecciona Ausencia de métricas y haz lo siguiente:
1. Establece Activador de alertas (Alert trigger) en Cualquier serie temporal es una infracción.
2. Establece el Tiempo de ausencia del activador en 1 hora.
3. Ingresa un nombre para la condición y, luego, haz clic en Siguiente.
En la sección Notificaciones y nombre, haz lo siguiente:
1. Selecciona un canal de notificaciones en el cuadro Usar canal de notificaciones. Te recomendamos que configures varios canales de notificaciones con fines de redundancia.
2. Configura las notificaciones sobre el cierre del incidente.
3. Establece las etiquetas de usuario de la política en un nivel adecuado. Se usa para establecer el nivel de gravedad de la alerta de una política.
4. Ingresa toda la documentación que desees que se envíe como parte de la alerta.
5. Ingresa un nombre para la política de alertas.