Silent-Host-Monitoring
In diesem Dokument werden die Methoden erläutert, mit denen Sie mit dem Silent-Host-Monitoring (SHM) von Google Security Operations Hosts in Ihrer Umgebung identifizieren können, die nicht mehr reagieren.
Ein stiller Host kann potenzielle Unterbrechungen der Datenerhebung signalisieren.
Erkennungsregel für SHM verwenden
Wir empfehlen, eine Erkennungsregel für SHM zu konfigurieren.
Bei dieser Methode werden UDM-Felder wie hostname, ip oder mac überwacht und eine Benachrichtigung wird ausgelöst, wenn erwartete Werte nicht innerhalb eines bestimmten Zeitraums empfangen wurden.
Beispielerkennungsregeln für SHM
Dieser Abschnitt enthält Beispielerkennungsregeln für SHM, die Sie verwenden oder an Ihre spezifischen Anforderungen anpassen können. Sie können beispielsweise den Zeitraum ändern, andere Felder (z. B. ip) verwenden oder die Regel auf andere Weise aufteilen.
Stille Hosts anhand des Hostnamens erkennen
Im folgenden Beispiel werden stumme Hosts von hostname erkannt:
- Es werden 20-minütige Zeitfenster gescannt.
- Hosts werden mit
ip,hostnameundmacerfasst. - Benachrichtigungen, wenn in den letzten 10 Minuten keine Ereignisse für einen Host empfangen wurden, aber in den letzten 20 Minuten nicht silent.
rule shm_using_hostname {
meta:
events:
$event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
// $identifier_hash = hash.sha256(strings.concat($event.principal.ip[0], $event.principal.hostname, $event.principal.mac[0]))
$silent_hostname = $event.principal.hostname
match:
$silent_hostname over 10m
outcome:
$max_event_time = max($event.metadata.event_timestamp.seconds)
$max_diff = timestamp.current_seconds() - $max_event_time
condition:
$event and $max_diff > 600
}
Silent Collectors mithilfe von Ingestions-Labels erkennen
Die folgende Beispielregel für die Erkennung von SHM:
- Es werden 20-minütige Zeitfenster gescannt.
- Kennzeichnet Stille mit dem Ingest-Label
ingestion_source. - Gibt Werte aus einer angegebenen Zeitzone (in diesem Beispiel Asia/Calcutta) an, die in den letzten 10 Minuten nicht aktiv, aber in den letzten 20 Minuten aktiv waren.
rule shm_using_ingestion_label {
meta:
events:
$event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
$event.metadata.ingestion_labels.key = "ingestion_source"
$silent_ingestion_source = $event.metadata.ingestion_labels.value
match:
$silent_ingestion_source over 20m
outcome:
$max_time_seconds = max($event.metadata.event_timestamp.seconds)
$max_diff_seconds = timestamp.current_seconds() - $max_time_seconds
$max_timestamp = timestamp.get_timestamp($max_time_seconds, "SECOND", "Asia/Calcutta")
$current_timestamp = timestamp.get_timestamp(timestamp.current_seconds(), "SECOND", "Asia/Calcutta")
condition:
$event and $max_diff_seconds > 600
}
Google Cloud Monitoring mit Ingestion-Labels für SHM verwenden
Bei dieser Methode wird Google Cloud Monitoring verwendet, um die Raten für die Aufnahme von Logs basierend auf Aufnahme-Labels für SHM zu überwachen.
In diesem Abschnitt wird beschrieben, wie Sie diese Methode mit Bindplane einrichten. Dazu sind die folgenden Schritte erforderlich:
- BindPlane für SHM mit Google Cloud Monitoring konfigurieren
- Google Cloud Monitoring-Schwellenwert für SHM konfigurieren
Nachdem Sie eine Log-Pipeline eingerichtet haben, die Ingestion-Labels für SHM anwendet, können Sie Google Cloud Monitoring-Benachrichtigungen pro Collector einrichten, wenn die Ingestion-Rate unter einen bestimmten Grenzwert fällt. Sie können die Benachrichtigungen so konfigurieren, dass sie an verschiedene Orte außerhalb von Google SecOps gesendet werden, und sie in einen Workflow einbinden.
Vorteile dieser Methode:
- Es wird die Aufnahmezeit und nicht die Ereigniszeit überwacht.
- Nutzt die erweiterten Benachrichtigungsfunktionen von Cloud Monitoring.
Nachteile dieser Methode:
- Erfordert eine separate Konfiguration außerhalb von Google SecOps.
- Begrenzt durch die Anzahl der Aufnahme-Labels.
BindPlane für SHM mit Google Cloud Monitoring konfigurieren
Die Voraussetzungen für die Konfiguration von BindPlane für SHM mit Google Cloud Monitoring sind wie folgt:
- Ein bereitgestellter Bindplane-Server, der mit einem Google SecOps Standardization-Prozessor konfiguriert ist.
- Der Prozessor für die Google SecOps-Standardisierung ist so konfiguriert, dass er ein unterstütztes
log_typeund ein Aufnahmelabel (z. B.ingestion_source) hinzufügt.
Führen Sie die folgenden Schritte aus, um Bindplane für SHM mit Google Cloud Monitoring zu konfigurieren:
- Senden Sie den Hostnamen des Collector-Servers als Attribut in jedem Logeintrag.
- Wählen Sie auf dem Tab Log die Optionen Processors > Add Processors > Copy Field aus.
- Konfigurieren Sie den Prozessor Feld kopieren:
- Geben Sie eine kurze Beschreibung für die Ressource ein.
- Wählen Sie den Telemetrietyp
Logsaus. - Setzen Sie das Feld
Copy FromaufResources. - Setzen Sie das Feld
Resource fieldaufhost.name. - Setzen Sie das Feld
Copy To fieldaufAttributes. - Setzen Sie das Feld
Attributes Fieldbeispielsweise aufchronicle_ingestion_label["ingestion_source"].
Google Cloud Monitoring-Schwellenwert für SHM konfigurieren
Legen Sie einen Grenzwert auf Grundlage der erwarteten Aufnahmerate fest. Bei niedrigeren Schwellenwerten werden Collector-Ausfälle erkannt, bei höheren Schwellenwerten werden Lücken in Upstream-Logs erkannt.
Nachdem Sie den Google Cloud Monitoring-Schwellenwert für SHM konfiguriert haben, empfehlen wir, den Messwert Chronicle Collector > Ingestion > Total Ingestion Log Count (Gesamtzahl der Ingestion-Logs) zu beobachten. Eine detaillierte Anleitung zum Einrichten von Beispielen finden Sie unter Beispielrichtlinie zum Erkennen von im Hintergrund ausgeführten Google SecOps-Erfassungs-Agents einrichten.
Google SecOps-Dashboard für SHM verwenden
Mit einem Google SecOps-Dashboard können Sie die täglichen Anzahlwerte für Monitoring-Hosts aufrufen, die nicht mehr reagieren.
Diese Methode eignet sich gut für tägliche Übersichten, unterstützt aber keine Benachrichtigungen und die Ergebnisse haben eine Latenz von bis zu 6 Stunden.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten