Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Cloud Monitoring untuk insight penyerapan

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menggunakan Cloud Monitoring untuk menerima notifikasi penyerapan. Google SecOps menggunakan Cloud Monitoring untuk mengirim notifikasi penyerapan. Gunakan fitur ini untuk notifikasi penyerapan dan melihat volume penyerapan. Anda dapat mengintegrasikan notifikasi email ke dalam alur kerja yang ada. Notifikasi dipicu saat nilai penyerapan mencapai tingkat tertentu yang telah ditentukan sebelumnya. Dalam dokumentasi Cloud Monitoring, notifikasi disebut pemberitahuan.

Sebelum memulai

Pahami Cloud Monitoring.
Konfigurasi Google Cloud project untuk Google SecOps.
Pastikan peran Identity and Access Management Anda mencakup izin dalam peran roles/monitoring.alertPolicyEditor. Untuk mengetahui informasi selengkapnya tentang peran, lihat Mengontrol akses dengan IAM.
Pahami cara membuat kebijakan pemberitahuan di Cloud Monitoring. Untuk mengetahui informasi tentang langkah-langkah ini, lihat Membuat kebijakan pemberitahuan batas metrik.
Konfigurasi saluran notifikasi untuk menerima notifikasi penyerapan sebagai email. Untuk mengetahui informasi tentang langkah-langkah ini, lihat Membuat dan mengelola saluran notifikasi.

Menyiapkan notifikasi penyerapan untuk metrik kesehatan

Untuk menyiapkan notifikasi yang memantau metrik kualitas penyerapan khusus untuk Google SecOps, lakukan hal berikut:

Di konsol Google Cloud , pilih Monitoring.
Di panel navigasi, pilih Alerting, lalu klik Create policy.
Di halaman Pilih metrik, klik Pilih metrik.
Di menu Pilih metrik, klik salah satu opsi berikut:
- Tombol Aktif untuk memfilter dan menampilkan hanya resource dan metrik dengan data dari 25 jam terakhir. Jika Anda tidak memilih ini, semua jenis resource dan metrik akan dicantumkan.
- Tombol Level org./folder untuk memantau resource dan metrik, seperti penggunaan kuota konsumen atau alokasi slot BigQuery, untuk organisasi dan folder Anda.
Pilih salah satu metrik berikut:
- Pilih Chronicle Collector > Ingestion, lalu pilih Total ingested log count atau Total ingested log size.
- Pilih Chronicle Collector > Normalizer, lalu pilih Total record count atau Total event count.
- Pilih Chronicle Log Type > Outofband, lalu pilih Total ingested log count (Feeds) atau Total ingested log size (Feeds).
Klik Terapkan.

Tambahkan filter

Di halaman Pilih metrik, klik Tambahkan Filter.
1. Dalam dialog filter, pilih label collector_id, pembanding, dan nilai filter.
2. Pilih satu atau beberapa filter berikut:
  - project_id: ID project yang terkait dengan resource ini. Google Cloud
  - location: Lokasi fisik cluster yang berisi objek pengumpul. Sebaiknya Anda tidak menggunakan kolom ini. Jika Anda mengosongkan kolom ini, Google SecOps dapat menggunakan informasi yang ada untuk menentukan secara otomatis tempat penyimpanan data.
  - collector_id: ID pengumpul.
  - log_type: Nama jenis log.
  - Label metrik > namespace: Namespace log.
  - feed_name: Nama feed.
  - LogType: Jenis log.
  - Label metrik > event_type: Jenis peristiwa menentukan kolom mana yang disertakan dengan peristiwa. Jenis peristiwa mencakup nilai, seperti PROCESS_OPEN, FILE_CREATION, USER_CREATION, dan NETWORK_DNS.
  - Label metrik > status: Status akhir peristiwa atau log. Statusnya adalah salah satu dari berikut:
    - parsed: Log berhasil diuraikan.
    - validated. Log berhasil divalidasi.
    - failed_parsing. Log memiliki error penguraian.
    - failed_validation. Log memiliki error validasi.
    - failed_indexing. Log memiliki error pengindeksan batch.
  - Label metrik > drop_reason_code: Kolom ini diisi jika sumber penyerapan adalah penerusan Google SecOps dan menunjukkan alasan mengapa log dihentikan selama normalisasi.
  - Label metrik > ingestion_source: Sumber penyerapan yang ada di label penyerapan saat log diserap menggunakan Ingestion API.
3. Pilih ID pengumpul khusus. collector_id juga dapat berupa ID penerusan atau ID khusus berdasarkan metode penyerapan:
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa:
    Mewakili semua feed yang dibuat menggunakan Feed Management API atau halaman. Untuk mengetahui informasi selengkapnya tentang pengelolaan feed, lihat Pengelolaan feed dan Feed Management API.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111:
    Mewakili Agen pengumpulan, termasuk Bindplane (Edisi Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1112:
    Bindplane Enterprise (Edisi Google).
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1113:
    Bindplane Enterprise.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1114:
    Pengumpul data tanpa antarmuka.
  - aaaa2222-aaaa-2222-aaaa-2222aaaa2222:
    Log yang di-ingest melalui metode Push HTTPS, termasuk feed jenis sumber Webhook, Amazon Kinesis Firehose, dan Pub/Sub. Google Cloud
  - aaaa3333-aaaa-3333-aaaa-3333aaaa3333:
    Log Cloud Storage dan mencakup log yang di-ingest melalui Event Threat Detection.
  - aaaa4444-aaaa-4444-aaaa-4444aaaa4444:
    Log yang diserap melalui integrasi feed Azure Event Hub. Hal ini mencakup feed jenis sumber Microsoft Azure Event Hub.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb:
    Mewakili semua sumber penyerapan yang menggunakan metode unstructuredlogentries Ingestion API. Untuk mengetahui informasi selengkapnya tentang API Penyerapan, lihat Google SecOps Ingestion API.
  - cccccccc-cccc-cccc-cccc-cccccccccccc:
    Mewakili semua sumber penyerapan yang menggunakan metode udmevents Ingestion API.
  - dddddddd-dddd-dddd-dddd-dddddddddddd:
    Mewakili log apa pun yang diserap melalui API internal, yang tidak melalui penyerapan prosesor OutOfBand (OOB), dan tidak melalui penyerapan log Google Cloud .
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee:
    Mewakili collector_id yang digunakan untuk CreateEntities.
Di bagian Transformasi data, lakukan tindakan berikut:
1. Tetapkan kolom Agregasi deret waktu ke sum.
2. Tetapkan kolom Kelompokkan deret waktu menurut ke project_id.

Opsional: Siapkan kebijakan pemberitahuan dengan beberapa kondisi. Untuk membuat notifikasi penyerapan dengan beberapa kondisi dalam kebijakan pemberitahuan, lihat Kebijakan dengan beberapa kondisi.

Metrik penerusan Google SecOps dan filter terkait

Tabel berikut menjelaskan metrik penerusan Google SecOps yang tersedia dan filter terkait.

Metrik penerusan Google SecOps	Filter
Memori container yang digunakan	`log_type`, `collector_id`
Disk container yang digunakan	`log_type`, `collector_id`
cpu_used container	`log_type`, `collector_id`
Log drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Menyiapkan kebijakan contoh untuk mendeteksi penerus Google SecOps yang tidak aktif

Contoh kebijakan berikut mendeteksi semua penerusan Google SecOps dan mengirimkan pemberitahuan jika penerusan Google SecOps tidak mengirimkan log selama 60 menit. Hal ini mungkin tidak berguna untuk semua penerus Google SecOps yang ingin Anda pantau. Misalnya, Anda dapat memantau satu sumber log di satu atau beberapa penerus Google SecOps dengan nilai minimum yang berbeda atau mengecualikan penerus Google SecOps berdasarkan frekuensi pelaporannya.

Di konsol Google Cloud , pilih Monitoring.
Buka Cloud Monitoring
Klik Create Policy.
Di halaman Select a metric, pilih Chronicle Collector > Ingestion > Total ingested log count.
Klik Terapkan.
Di bagian Transformasi data, lakukan tindakan berikut:
1. Setel Rolling window ke waktu hingga 1 jam*.
2. Setel Rolling window function ke mean.
3. Tetapkan Time series aggregation ke mean.
4. Tetapkan Kelompokkan deret waktu menurut ke collector_id. Jika tidak disetel untuk mengelompokkan menurut collector_id, maka pemberitahuan akan dipicu untuk setiap sumber log.
Klik Berikutnya.
Pilih Metric absence, lalu lakukan tindakan berikut:
1. Setel Pemicu notifikasi ke Deret waktu mana saja melanggar.
2. Setel Waktu tidak ada pemicu hingga 1 jam.
3. Masukkan nama untuk kondisi, lalu klik Berikutnya.
Di bagian Notifikasi dan nama, lakukan hal berikut:
1. Pilih saluran notifikasi di kolom Gunakan saluran notifikasi. Sebaiknya Anda mengonfigurasi beberapa saluran notifikasi untuk tujuan redundansi.
2. Konfigurasi notifikasi saat insiden ditutup.
3. Tetapkan label pengguna kebijakan ke tingkat yang sesuai. Gunakan setelan ini untuk menetapkan tingkat keparahan pemberitahuan untuk kebijakan.
4. Masukkan dokumentasi yang ingin Anda kirim sebagai bagian dari pemberitahuan.
5. Masukkan nama untuk kebijakan pemberitahuan.

Menambahkan pengecualian ke kebijakan umum

Mungkin perlu mengecualikan penerusan Google SecOps tertentu dari kebijakan umum karena volume trafficnya mungkin rendah, atau memerlukan kebijakan pemberitahuan yang lebih kustom.

Di konsol Google Cloud , pilih Monitoring.
Di halaman navigasi, pilih Alerting, lalu di bagian Policies, pilih kebijakan yang ingin Anda edit.
Di halaman Detail kebijakan, klik Edit.
Di halaman Edit kebijakan pemberitahuan, di bagian Tambahkan filter, pilih Tambahkan filter, lalu lakukan hal berikut:
1. Pilih label collector_id dan pengumpul yang ingin Anda kecualikan dari kebijakan.
2. Tetapkan pembanding ke != dan nilai ke collector_id yang ingin Anda kecualikan, lalu klik Selesai.
3. Ulangi untuk setiap pengumpul data yang perlu dikecualikan. Anda juga dapat menggunakan ekspresi reguler untuk mengecualikan beberapa pengumpul hanya dengan satu filter jika ingin menggunakan format berikut:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Klik Simpan Kebijakan.

Menyiapkan contoh kebijakan untuk mendeteksi agen pengumpulan Google SecOps yang tidak aktif

Contoh kebijakan berikut mendeteksi semua agen pengumpulan Google SecOps dan mengirimkan pemberitahuan jika agen pengumpulan Google SecOps tidak mengirimkan log selama 60 menit. Contoh ini mungkin tidak berguna untuk semua agen pengumpulan Google SecOps yang ingin Anda pantau. Misalnya, Anda dapat memantau satu sumber log di satu atau banyak agen pengumpulan Google SecOps dengan nilai minimum yang berbeda atau mengecualikan agen pengumpulan Google SecOps berdasarkan frekuensi pelaporan mereka.

Di konsol Google Cloud , pilih Monitoring.
Buka Cloud Monitoring
Klik Create Policy.
Di halaman Select a metric, pilih Chronicle Collector > Agent > Exporter Accepted Spans Count.
Klik Terapkan.
Di bagian Transformasi data, lakukan tindakan berikut:
1. Tetapkan Rolling window hingga 1 jam*.
2. Setel Rolling window function ke mean.
3. Tetapkan Time series aggregation ke mean.
4. Tetapkan Kelompokkan deret waktu menurut ke collector_id. Jika tidak disetel untuk mengelompokkan menurut collector_id, maka pemberitahuan akan dipicu untuk setiap sumber log.
Klik Berikutnya.
Pilih Metric absence, lalu lakukan tindakan berikut:
1. Setel Pemicu notifikasi ke Deret waktu mana saja melanggar.
2. Setel Waktu tidak ada pemicu hingga 1 jam*.
3. Masukkan nama untuk kondisi, lalu klik Berikutnya.
Di bagian Notifikasi dan nama, lakukan hal berikut:
1. Pilih saluran notifikasi di kolom Gunakan saluran notifikasi. Sebaiknya Anda mengonfigurasi beberapa saluran notifikasi untuk tujuan redundansi.
2. Konfigurasi notifikasi saat insiden ditutup.
3. Tetapkan label pengguna kebijakan ke tingkat yang sesuai. Kolom ini digunakan untuk menetapkan tingkat keparahan pemberitahuan untuk suatu kebijakan.
4. Masukkan dokumentasi yang ingin Anda kirim sebagai bagian dari pemberitahuan.
5. Masukkan nama untuk kebijakan pemberitahuan.

Melihat total penyerapan menurut jenis log

Untuk melihat volume penyerapan menurut jenis log di Cloud Monitoring, lakukan hal berikut:

Di halaman Setelan, pilih Profil.
Pilih profil Cloud Monitoring Anda.
Di halaman Profil, ketik Integrasi di kotak penelusuran.
Pilih Metrics Explorer.
Klik promQL untuk beralih ke mode kueri promQL.
Di kolom Queries, salin kode berikut:

sum by (log_type) (increase(chronicle_googleapis_com:ingestion_log_bytes_count{monitored_resource="chronicle.googleapis.com/Collector"}[1h]))
Opsional: Filter jenis log tertentu, dan sertakan dalam kueri.

Misalnya, untuk melihat penyerapan jenis log GCP_CLOUDAUDIT, kuerinya akan terlihat seperti ini:

`sum(increase(chronicle_googleapis_com:ingestion_log_bytes_count{monitored_resource="chronicle.googleapis.com/Collector",log_type="GCP_CLOUDAUDIT"}[1h]))`

Di bagian Results, pilih tab Table untuk melihat data yang dijumlahkan.
Opsional: Sesuaikan rentang waktu sesuai kebutuhan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.