Se usó la API de Cloud Translation para traducir esta página.

Usa Cloud Monitoring para obtener estadísticas sobre la transferencia de datos

Compatible con:

Google SecOps SIEM

En este documento, se describe cómo usar Cloud Monitoring para recibir notificaciones de transferencia. Google SecOps usa Cloud Monitoring para enviar las notificaciones de transferencia. Usa esta función para ver las notificaciones y el volumen de la transferencia. Puedes integrar notificaciones por correo electrónico en flujos de trabajo existentes. Las notificaciones se activan cuando los valores de la transferencia alcanzan ciertos niveles predefinidos. En la documentación de Cloud Monitoring, las notificaciones se denominan alertas.

Antes de comenzar

Familiarízate con Cloud Monitoring.
Configura un proyecto Google Cloud para Google SecOps.
Verifica que tu rol de Identity and Access Management incluya los permisos del rol roles/monitoring.alertPolicyEditor. Para obtener más información sobre los roles, consulta Control de acceso con IAM.
Familiarízate con la creación de políticas de alertas en Cloud Monitoring. Para obtener información sobre estos pasos, consulta Crea políticas de alertas de límite de métrica.
Configura el canal de notificaciones para recibir notificaciones de transferencia por correo electrónico. Para obtener información sobre estos pasos, consulta Cómo crear y administrar canales de notificaciones.

Configura una notificación de transferencia para las métricas de estado

Para configurar notificaciones que supervisen las métricas de estado de la transferencia específicas de Google SecOps, haz lo siguiente:

En la consola de Google Cloud , selecciona Monitoring.
En el panel de navegación, selecciona Alertas y, luego, haz clic en Crear política.
En la página Seleccionar una métrica, haz clic en Seleccionar una métrica.
En el menú Seleccionar una métrica, haz clic en una de las siguientes opciones:
- Botón de activación Activo para filtrar y mostrar solo los recursos y las métricas con datos de las últimas 25 horas. Si no seleccionas esta opción, se mostrarán todos los tipos de recursos y métricas.
- El botón de activación Nivel de organización o carpeta para supervisar recursos y métricas, como el uso de cuotas del consumidor o la asignación de ranura de BigQuery, de tu organización y tus carpetas.
Selecciona cualquiera de las siguientes métricas:
- Selecciona Chronicle Collector > Ingestion y, luego, Total ingested log count o Total ingested log size.
- Selecciona Chronicle Collector > Normalizer y, luego, selecciona Total record count o Total event count.
- Selecciona Tipo de registro de Chronicle > Outofband y, luego, Total ingested log count (Feeds) o Total ingested log size (Feeds).
Haz clic en Aplicar.

Agregar un filtro

En la página Selecciona una métrica, haz clic en Agregar filtro.
1. En el diálogo del filtro, selecciona la etiqueta collector_id, un comparador y el valor del filtro.
2. Selecciona uno o más de los siguientes filtros:
  - project_id: Es el ID del proyecto de Google Cloud asociado a este recurso.
  - location: Es la ubicación física del clúster que contiene el objeto del recopilador. Te recomendamos que no uses este campo. Si dejas este campo vacío, Google SecOps puede usar la información existente para determinar automáticamente dónde almacenar los datos.
  - collector_id: Es el ID del recopilador.
  - log_type: Es el nombre del tipo de registro.
  - Etiqueta de métrica > namespace: Es el espacio de nombres del registro.
  - feed_name: Es el nombre del feed.
  - LogType: Tipo de registro.
  - Etiqueta de métrica > event_type: El tipo de evento determina qué campos se incluyen con el evento. El tipo de evento incluye valores como PROCESS_OPEN, FILE_CREATION, USER_CREATION y NETWORK_DNS.
  - Etiqueta de métrica > state: Es el estado final del evento o registro. El estado es uno de los siguientes:
    - parsed: El registro se analizó correctamente.
    - validated. El registro se validó correctamente.
    - failed_parsing. El registro tiene errores de análisis.
    - failed_validation. El registro tiene errores de validación.
    - failed_indexing. El registro tiene errores de indexación por lotes.
  - Etiqueta de métrica > drop_reason_code: Este campo se completa si la fuente de transferencia es el reenviador de Google SecOps y muestra el motivo por el que se descartó un registro durante la normalización.
  - Etiqueta de métrica > ingestion_source: Es la fuente de transferencia presente en la etiqueta de transferencia cuando los registros se transfieren con la API de Ingestion.
3. Selecciona un ID de recolector especial. El collector_id también puede ser un ID de reenvío o un ID especial según el método de transferencia:
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa:
    Representa todos los feeds creados con la API o la página de Feed Management. Para obtener más información sobre la administración de feeds, consulta Administración de feeds y la API de Feed Management.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111:
    Representa al agente de recopilación, incluido Bindplane (edición de Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1112:
    Bindplane Enterprise (edición de Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1113:
    Bindplane Enterprise.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1114:
    Recopilador sin encabezado.
  - aaaa2222-aaaa-2222-aaaa-2222aaaa2222: Registros de
    ingeridos a través del método de envío HTTPS, incluidos los feeds de tipo de fuente de Webhooks, Amazon Kinesis Firehose y Google Cloud Pub/Sub.
  - aaaa3333-aaaa-3333-aaaa-3333aaaa3333:
    Registros de Cloud Storage que incluyen los registros transferidos a través de la Detección de eventos de amenazas.
  - aaaa4444-aaaa-4444-aaaa-4444aaaa4444:
    Registros ingeridos a través de la integración del feed de Azure Event Hub. Esto incluye los feeds de tipo fuente de Microsoft Azure Event Hub.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb:
    Representa todas las fuentes de transferencia que usan el método unstructuredlogentries de la API de Ingestion. Para obtener más información sobre las APIs de Ingestion, consulta la API de Ingestion de Google SecOps.
  - cccccccc-cccc-cccc-cccc-cccccccccccc:
    Representa todas las fuentes de transferencia que usan el método udmevents de la API de Ingestion.
  - dddddddd-dddd-dddd-dddd-dddddddddddd:
    Representa cualquier registro que se ingiere a través de la API interna, que no se ingiere a través del procesador fuera de banda (OOB) ni a través de la Google Cloud ingestión de registros.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee:
    Representa el collector_id que se usa para CreateEntities.
En la sección Transforma los datos, haz lo siguiente:
1. Establece el campo Agregación de series temporales en suma.
2. Establece el campo Grupo de series temporales por en project_id.

Opcional: Configura una política de alertas con varias condiciones. Para crear notificaciones de transferencia con varias condiciones dentro de una política de alertas, consulta Políticas con varias condiciones.

Métricas del retransmisor de Google SecOps y filtros asociados

En la siguiente tabla, se describen las métricas disponibles del reenvío de Google SecOps y los filtros asociados.

Métrica de reenvío de Google SecOps	Filtro
Memoria del contenedor utilizada	`log_type`, `collector_id`
Disco usado por el contenedor	`log_type`, `collector_id`
cpu_used del contenedor	`log_type`, `collector_id`
Registra drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Configura una política de muestra para detectar reenvíos silenciosos de Google SecOps

La siguiente política de muestra detecta todos los retransmisores de Google SecOps y envía alertas si no envían registros durante 60 minutos. Esto puede no ser útil para todos los reenvíos de Google SecOps que deseas supervisar. Por ejemplo, puedes supervisar una sola fuente de registros en uno o varios reenvíadores de SecOps de Google con un umbral diferente o excluir los reenvíadores de SecOps de Google según su frecuencia de informes.

En la consola de Google Cloud , selecciona Monitoring.
Ir a Cloud Monitoring
Haz clic en Crear política.
En la página Selecciona una métrica, selecciona Chronicle Collector > Ingestion > Total ingested log count.
Haz clic en Aplicar.
En la sección Transforma los datos, haz lo siguiente:
1. Establece la ventana progresiva en un período de hasta 1 hora*.
2. Establece la función de ventana progresiva en media.
3. Establece la Agregación de series temporales en media.
4. Establece Agrupación de series temporales en collector_id. Si no se configura para agrupar por collector_id, se activará una alerta para cada fuente de registro.
Haz clic en Siguiente.
Selecciona Metric absence y haz lo siguiente:
1. Configura Activador de alertas en Cualquier serie temporal es una infracción.
2. Establece el Tiempo de ausencia del activador en un período de hasta 1 hora.
3. Ingresa un nombre para la condición y haz clic en Siguiente.
En la sección Notificaciones y nombre, haz lo siguiente:
1. Selecciona un canal de notificaciones en el campo Usar el canal de notificaciones. Te recomendamos que configures varios canales de notificaciones con fines de redundancia.
2. Configura las notificaciones sobre el cierre de incidentes.
3. Establece las etiquetas de usuario de la política en un nivel adecuado. Usa este parámetro de configuración para establecer el nivel de gravedad de la alerta para una política.
4. Ingresa la documentación que quieras enviar como parte de la alerta.
5. Ingresa un nombre para la política de alertas.

Agrega exclusiones a una política general

Es posible que sea necesario excluir ciertos reenviadores de Google SecOps de una política general porque pueden tener volúmenes de tráfico bajos o requerir una política de alertas más personalizada.

En la consola de Google Cloud , selecciona Monitoring.
En la página de navegación, selecciona Alertas y, luego, en la sección Políticas, selecciona la política que deseas editar.
En la página Detalles de la política, haz clic en Editar.
En la página Editar política de alertas, en la sección Agregar filtros, selecciona Agregar un filtro y haz lo siguiente:
1. Selecciona la etiqueta collector_id y el recopilador que deseas excluir de la política.
2. Establece el comparador en != y el valor en el collector_id que deseas excluir, y haz clic en Listo.
3. Repite este paso para cada recopilador que deba excluirse. También puedes usar una expresión regular para excluir varios recopiladores con un solo filtro si deseas usar el siguiente formato:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Haz clic en Guardar política.

Configura una política de muestra para detectar agentes de recopilación silenciosos de Google SecOps

La siguiente política de muestra detecta todos los agentes de recopilación de Google SecOps y envía alertas si estos no envían registros durante 60 minutos. Es posible que esta muestra no sea útil para todos los agentes de recopilación de Google SecOps que deseas supervisar. Por ejemplo, puedes supervisar una sola fuente de registros en uno o varios agentes de recopilación de Google SecOps con un umbral diferente, o bien excluir agentes de recopilación de Google SecOps según su frecuencia de informes.

En la consola de Google Cloud , selecciona Monitoring.
Ir a Cloud Monitoring
Haz clic en Crear política.
En la página Selecciona una métrica, selecciona Chronicle Collector > Agent > Exporter Accepted Spans Count.
Haz clic en Aplicar.
En la sección Transforma los datos, haz lo siguiente:
1. Configura la ventana progresiva en hasta 1 hora*.
2. Establece la función de ventana progresiva en media.
3. Establece la Agregación de series temporales en media.
4. Establece Agrupación de series temporales en collector_id. Si no se configura para agrupar por collector_id, se activará una alerta para cada fuente de registro.
Haz clic en Siguiente.
Selecciona Metric absence y haz lo siguiente:
1. Configura Activador de alertas en Cualquier serie temporal es una infracción.
2. Establece el Tiempo de ausencia del activador en hasta 1 hora*.
3. Ingresa un nombre para la condición y haz clic en Siguiente.
En la sección Notificaciones y nombre, haz lo siguiente:
1. Selecciona un canal de notificaciones en el campo Usar el canal de notificaciones. Te recomendamos que configures varios canales de notificaciones con fines de redundancia.
2. Configura las notificaciones sobre el cierre de incidentes.
3. Establece las etiquetas de usuario de la política en un nivel adecuado. Se usa para establecer el nivel de gravedad de la alerta para una política.
4. Ingresa la documentación que quieras enviar como parte de la alerta.
5. Ingresa un nombre para la política de alertas.

Consulta la transferencia total por tipo de registro

Para ver los volúmenes de transferencia por tipo de registro en Cloud Monitoring, haz lo siguiente:

En la página Configuración, selecciona Perfil.
Selecciona tu perfil de Cloud Monitoring.
En la página Perfil, escribe Integraciones en la barra de búsqueda.
Selecciona Explorador de métricas.
Haz clic en promQL para cambiar al modo de consulta de promQL.
En el campo Consultas, copia lo siguiente:

sum by (log_type) (increase(chronicle_googleapis_com:ingestion_log_bytes_count{monitored_resource="chronicle.googleapis.com/Collector"}[1h]))
Opcional: Filtra un tipo de registro específico y lo incluye en la consulta.

Por ejemplo, para ver la transferencia del tipo de registro GCP_CLOUDAUDIT, la consulta se vería de la siguiente manera:

`sum(increase(chronicle_googleapis_com:ingestion_log_bytes_count{monitored_resource="chronicle.googleapis.com/Collector",log_type="GCP_CLOUDAUDIT"}[1h]))`

En la sección Resultados, selecciona la pestaña Tabla para ver los datos sumados.
Opcional: Ajusta el período según sea necesario.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.