수집 알림에 Cloud Monitoring 사용
이 문서에서는 Cloud Monitoring을 사용하여 수집 알림을 수신하는 방법을 설명합니다. Google SecOps는 Cloud Monitoring을 사용하여 수집 알림을 전송합니다. 이 기능을 사용하면 사전에 문제를 해결할 수 있습니다. 기존 워크플로에 이메일 알림을 통합할 수 있으며, 처리 값이 사전 정의된 특정 수준에 도달하면 알림이 트리거됩니다. Cloud Monitoring 문서에서는 알림(notifications)을 알림(alerts)이라고 합니다.
시작하기 전에
Cloud Monitoring에 대해 숙지해야 합니다.
Identity and Access Management 역할에
roles/monitoring.alertPolicyEditor
역할의 권한이 포함되어 있는지 확인합니다. 이러한 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.Cloud Monitoring에서 알림 정책을 만드는 방법을 숙지해야 합니다. 이 단계에 대한 자세한 내용은 알림 만들기를 참고하세요.
수집 알림을 받을 이메일 채널을 알림 채널로 구성하세요. 이 단계에 대한 자세한 내용은 알림 채널 관리를 참조하세요.
상태 측정항목의 수집 알림 설정
Google SecOps와 관련된 수집 상태 측정항목을 모니터링하는 알림을 설정하려면 다음을 수행합니다.
Google Cloud 콘솔에서 Monitoring을 선택합니다.
탐색 창에서 알림을 선택한 후 정책 만들기를 클릭합니다.
측정항목 선택 페이지에서 측정항목 선택을 클릭합니다.
측정항목 선택 메뉴에서 다음 중 하나를 클릭합니다.
- 활성 전환: 지난 25시간의 데이터로 리소스 및 측정항목만 필터링하고 표시합니다. 이 옵션을 선택하지 않으면 모든 리소스 및 측정항목 유형이 표시됩니다.
- 조직/폴더 수준: 조직 및 폴더의 소비자 할당량 사용량 또는 BigQuery 슬롯 할당과 같은 리소스와 측정항목을 모니터링하도록 전환합니다.
다음 측정항목 중 하나를 선택합니다.
Chronicle 수집기 > 수집을 선택한 후 수집된 총 로그 수 또는수집된 총 로그 크기 중 하나를 선택합니다.
Chronicle 수집기 > 노멀라이저를 선택한 후 총 레코드 수 또는 총 이벤트 수를 선택합니다.
Chronicle 로그 유형 > 대역 외를 선택한 후 수집된 총 로그 수(피드) 또는 수집된 총 로그 크기(피드)를 선택합니다.
적용을 클릭합니다.
필터를 추가하려면 측정항목 선택 페이지에서 필터 추가를 클릭합니다. 필터 대화상자에서 collector_id 라벨, 비교 연산자를 선택한 후 필터 값을 선택합니다.
다음 필터 중 하나 이상을 선택합니다.
project_id: 이 리소스와 연결된 Google Cloud 프로젝트의 식별자입니다.
location: 수집기 객체가 포함된 클러스터의 실제 위치입니다. 이 필드는 사용하지 않는 것이 좋습니다. 이 필드를 비워 두면 Google Security Operations에서 이미 보유한 정보를 사용하여 데이터 저장 위치를 자동으로 결정할 수 있습니다.
collector_id: 수집자의 ID입니다.
log_type: 로그 유형의 이름입니다.
측정항목 라벨 > 네임스페이스: 로그의 네임스페이스입니다.
Feed_name: 피드의 이름입니다.
LogType: 로그 유형입니다.
측정항목 라벨 > event_type: 이벤트 유형에 따라 이벤트에 포함되는 필드가 결정됩니다. 이벤트 유형에는
PROCESS_OPEN
,FILE_CREATION
,USER_CREATION
,NETWORK_DNS
와 같은 값이 포함됩니다.측정항목 라벨 > 상태: 이벤트 또는 로그의 최종 상태입니다. 상태는 다음 중 하나입니다.
parsed
. 로그가 성공적으로 파싱되었습니다.validated
. 로그가 성공적으로 검증되었습니다.failed_parsing
. 로그에 파싱 오류가 있습니다.failed_validation
. 로그에 검증 오류가 있습니다.failed_indexing
. 로그에 일괄 색인 생성 오류가 있습니다.
측정항목 라벨 > drop_reason_code: 이 필드는 수집 소스가 Google SecOps 전달자일 때 채워지며 로그가 정규화 중에 삭제된 이유를 나타냅니다.
측정항목 라벨 > ingestion_source: 수집 API를 사용해서 로그가 수집되었을 때 수집 라벨에 있는 수집 소스입니다.
특수 수집기 ID를 선택합니다. 수집기 ID는 수집 방법에 따라 전달자 ID 또는 특수 ID일 수도 있습니다.
aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: Feed Management API 또는 페이지를 사용하여 만든 모든 피드를 나타냅니다. 피드 관리에 관한 자세한 내용은 피드 관리 및 피드 관리 API를 참고하세요.
bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: 수집 API
unstructuredlogentries
메서드를 사용하는 모든 수집 소스를 나타냅니다. 수집 API에 대한 자세한 내용은 Google SecOps 수집 API를 참고하세요.cccccccc-cccc-cccc-cccc-cccccccccccc: 수집 API
udmevents
메서드를 사용하는 모든 수집 소스를 나타냅니다dddddddd-dddd-dddd-dddd-dddddddddddd: Google Cloud 로그 처리를 나타냅니다.
eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee:
CreateEntities
에 대해 사용되는 수집기 ID를 나타냅니다.aaaa1111-aaaa-1111-aaaa-1111aaaa1111: 수집 대리인을 나타냅니다.
변환 데이터 섹션에서 다음을 선택합니다.
- 시계열 집계 필드를 sum으로 설정합니다.
- 시계열 그룹화 기준 필드를 project_id로 설정합니다.
(선택사항) 여러 조건을 포함하여 알림 정책을 설정합니다. 알림 정책 내에 조건이 여러 개 있는 수집 알림을 만들려면 여러 조건이 포함된 정책을 참조하세요.
Google SecOps 전달자 측정항목 및 관련 필터
다음 표에서는 사용 가능한 Google SecOps 전달자 측정항목과 관련 필터를 설명합니다.
Google SecOps 전달자 측정항목 | 필터 |
---|---|
사용된 컨테이너 메모리 | log_type , collector_id |
사용된 컨테이너 디스크 | log_type , collector_id |
Container cpu_used | log_type , collector_id |
Log drop_count | log_type , collector_id , input_type , reason |
buffer_used | log_type , collector_id , buffer_type , input_type |
last_heartbeat | log_type , collector_id , input_type |
조용한 Google SecOps 전달자를 감지하도록 샘플 정책 설정
다음 샘플 정책은 모든 Google SecOps 전달자를 감지하고 Google SecOps 전달자가 60분 동안 로그를 전송하지 않으면 알림을 보냅니다. 이는 모니터링하려는 모든 Google SecOps 전달자에게 유용하지 않을 수 있습니다. 예를 들어 Google SecOps 전달자 하나 이상에서 임곗값이 다른 단일 로그 소스를 모니터링하거나 보고 빈도에 따라 Google SecOps 전달자를 제외할 수 있습니다.
Google Cloud 콘솔에서 Monitoring을 선택합니다.
Cloud Monitoring으로 이동정책 만들기를 클릭합니다.
측정항목 선택 페이지에서 Chronicle 수집기 > 수집 > 수집된 총 로그 수를 선택합니다.
적용을 클릭합니다.
변환 데이터 섹션에서 다음을 선택합니다.
- 순환 기간을 1시간으로 설정합니다.
- 순환 기간 함수를 평균으로 설정합니다.
- 시계열 집계를 평균으로 설정합니다.
- 시계열 그룹화 기준을 collector_id로 설정합니다. collector_id로 그룹화하도록 설정되지 않은 경우 각 로그 소스에 대해 알림이 트리거됩니다.
다음을 클릭합니다.
측정항목 부재를 선택하고 다음을 수행합니다.
- 알림 트리거를 모든 시계열 위반으로 설정합니다.
- 트리거 부재 시간을 1시간으로 설정합니다.
- 조건 이름을 입력한 후 다음을 클릭합니다.
알림 및 이름 섹션에서 다음을 수행합니다.
- 알림 채널 사용 상자에서 알림 채널을 선택합니다. 중복성을 위해 여러 알림 채널을 구성하는 것이 좋습니다.
- 이슈 종료 시 알림을 구성합니다.
- 정책 사용자 라벨을 적절한 수준으로 설정합니다. 정책의 알림 심각도 수준을 설정하는 데 사용됩니다.
- 알림의 일부로 전송될 모든 문서를 입력합니다.
- 알림 정책 이름을 입력합니다.
포괄 정책에 제외 추가
특정 Google SecOps 전달자에 트래픽 양이 적거나 더 많은 커스텀 알림 정책이 필요할 수 있으므로 포괄 정책에서 이러한 전달자를 제외해야 할 수도 있습니다.
Google Cloud 콘솔에서 Monitoring을 선택합니다.
탐색 페이지에서 알림을 선택한 다음 정책 섹션에서 수정하려는 정책을 선택합니다.
정책 세부정보 페이지에서 수정을 클릭합니다.
알림 정책 수정 페이지의 필터 추가 섹션에서 필터 추가를 선택하고 다음을 실행합니다.
- collector_id 라벨과 정책에서 제외할 수집기를 선택합니다.
- 비교기를
!=
로, 값을 제외하려는collector_id
로 설정한 다음 완료를 클릭합니다. - 제외해야 하는 각 수집기에 대해 이 작업을 반복합니다. 다음 형식을 사용하려는 경우 정규 표현식을 사용하여 단일 필터로 여러 수집기를 제외할 수도 있습니다.
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
정책 저장을 클릭합니다.
조용한 Google SecOps 수집 에이전트를 감지하도록 샘플 정책 설정
다음 샘플 정책은 모든 Google SecOps 수집 에이전트를 감지하고 Google SecOps 수집 에이전트가 60분 동안 로그를 전송하지 않으면 알림을 보냅니다. 이 샘플은 모니터링하려는 모든 Google SecOps 수집 에이전트에 유용하지 않을 수 있습니다. 예를 들어 Google SecOps 수집 에이전트 하나 이상에서 임곗값이 다른 단일 로그 소스를 모니터링하거나 보고 빈도에 따라 Google SecOps 수집 에이전트를 제외할 수 있습니다.
Google Cloud 콘솔에서 Monitoring을 선택합니다.
Cloud Monitoring으로 이동정책 만들기를 클릭합니다.
측정항목 선택 페이지에서 Chronicle 수집기 > 에이전트 > 내보내기 도구에서 수락한 스팬 수를 선택합니다.
적용을 클릭합니다.
변환 데이터 섹션에서 다음을 선택합니다.
- 순환 기간을 1시간으로 설정합니다.
- 순환 기간 함수를 평균으로 설정합니다.
- 시계열 집계를 평균으로 설정합니다.
- 시계열 그룹화 기준을 collector_id로 설정합니다. collector_id로 그룹화하도록 설정되지 않은 경우 각 로그 소스에 대해 알림이 트리거됩니다.
다음을 클릭합니다.
측정항목 부재를 선택하고 다음을 수행합니다.
- 알림 트리거를 모든 시계열 위반으로 설정합니다.
- 트리거 부재 시간을 1시간으로 설정합니다.
- 조건 이름을 입력한 후 다음을 클릭합니다.
알림 및 이름 섹션에서 다음을 수행합니다.
- 알림 채널 사용 상자에서 알림 채널을 선택합니다. 중복성을 위해 여러 알림 채널을 구성하는 것이 좋습니다.
- 이슈 종료 시 알림을 구성합니다.
- 정책 사용자 라벨을 적절한 수준으로 설정합니다. 정책의 알림 심각도 수준을 설정하는 데 사용됩니다.
- 알림의 일부로 전송될 모든 문서를 입력합니다.
- 알림 정책 이름을 입력합니다.