Supervisión de hosts silenciosos

Compatible con:

En este documento, se explican los métodos por los que la supervisión de host silencioso (SHM) de Operaciones de seguridad de Google te permite identificar los hosts de tu entorno que se han silenciado.

Un host silencioso puede indicar posibles detenciones del recolector.

Usa una regla de detección para el SHM

Te recomendamos que configures una regla de detección para el SHM.

Este método supervisa los campos del UDM (como hostname, ip o mac) y activa una alerta cuando no se reciben los valores esperados dentro de un período especificado.

Ejemplo de reglas de detección para SHM

En esta sección, se incluyen reglas de detección de ejemplo para el SHM que puedes usar o adaptar a tus necesidades específicas. Por ejemplo, puedes modificar el período, usar otros campos (como ip) o dividir la regla de otras maneras.

Detecta hosts silenciosos por nombre de host

En el siguiente ejemplo, se detectan hosts silenciosos con hostname:

  • Analiza períodos de 20 minutos.
  • Realiza un seguimiento de los hosts con ip, hostname y mac.
  • Se activa si no se recibieron eventos para un host en los últimos 10 minutos, pero no silencioso en los últimos 20 minutos.
rule shm_using_hostname {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   // $identifier_hash = hash.sha256(strings.concat($event.principal.ip[0], $event.principal.hostname, $event.principal.mac[0]))
   $silent_hostname = $event.principal.hostname
 match:
   $silent_hostname over 10m
 outcome:
   $max_event_time = max($event.metadata.event_timestamp.seconds)
   $max_diff = timestamp.current_seconds() - $max_event_time
 condition:
   $event and $max_diff > 600
}

Detecta recopiladores silenciosos con etiquetas de transferencia

La siguiente es una regla de detección de ejemplo para el SHM:

  • Analiza períodos de 20 minutos.
  • Identifica el silencio con la etiqueta de incorporación ingestion_source.
  • Identifica los valores de una zona horaria especificada (en este ejemplo, Asia/Calcutta) que han estado inactivos durante los últimos 10 minutos, pero no inactivos durante los últimos 20 minutos.
rule shm_using_ingestion_label {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   $event.metadata.ingestion_labels.key = "ingestion_source"
   $silent_ingestion_source = $event.metadata.ingestion_labels.value
 match:
   $silent_ingestion_source over 20m
 outcome:
   $max_time_seconds = max($event.metadata.event_timestamp.seconds)
   $max_diff_seconds = timestamp.current_seconds() - $max_time_seconds
   $max_timestamp = timestamp.get_timestamp($max_time_seconds, "SECOND", "Asia/Calcutta")
   $current_timestamp = timestamp.get_timestamp(timestamp.current_seconds(), "SECOND", "Asia/Calcutta")
 condition:
   $event and $max_diff_seconds > 600
}

Usa Google Cloud Monitoring con etiquetas de transferencia para el SHM

Este método usa Google Cloud Monitoring para supervisar las tasas de transferencia de registros según las etiquetas de transferencia para el SHM.

En esta sección, se describe cómo configurar este método con Bindplane, lo que incluye los siguientes pasos:

  1. Configura BindPlane para SHM con Google Cloud Monitoring
  2. Configura el umbral de Google Cloud Monitoring para el SHM

Después de configurar una canalización de registros que aplique etiquetas de transferencia para el SHM, puedes configurar alertas de Google Cloud Monitoring por recopilador para cuando la tasa de transferencia sea inferior a un umbral especificado. Puedes configurar las alertas para que se envíen a varios lugares fuera de Google SecOps y, luego, integrarlas en un flujo de trabajo.

Beneficios de este método:

  • Supervisa el tiempo de transferencia, no el tiempo del evento.
  • Aprovecha las capacidades avanzadas de alertas de Cloud Monitoring.

Desventajas de este método:

Configura BindPlane para SHM con Google Cloud Monitoring

A continuación, se indican los requisitos previos para configurar BindPlane para SHM con Google Cloud Monitoring:

Para configurar Bindplane para SHM con Google Cloud Monitoring, completa los siguientes pasos:

  1. Envía el nombre de host del servidor de recopilación como un atributo en cada entrada de registro.
  2. En la pestaña Registro, selecciona Procesadores > Agregar procesadores > Copiar campo.
  3. Configura el procesador Copy Field de la siguiente manera:
    • Ingresa una descripción breve del recurso.
    • Elige el tipo de telemetría Logs.
    • Configura el campo Copy From como Resources.
    • Configura el campo Resource field como host.name.
    • Configura el campo Copy To field como Attributes.
    • Establece el campo Attributes Field, por ejemplo, en chronicle_ingestion_label["ingestion_source"].

Configura el umbral de Google Cloud Monitoring para el SHM

Define un umbral en función de la tasa de transferencia esperada. Los umbrales más bajos detectan interrupciones del recopilador, mientras que los más altos detectan brechas en los registros ascendentes.

Después de configurar el umbral de Google Cloud Monitoring para el SHM, te recomendamos que supervises la métrica Total Ingestion Log Count de Chronicle Collector > Ingestion >. Para obtener instrucciones detalladas sobre la configuración de muestras, consulta Cómo configurar una política de muestra para detectar agentes de recopilación silenciosos de Google SecOps.

Usa un panel de Google SecOps para el SHM

Usa un panel de SecOps de Google para ver los recuentos diarios de los hosts de supervisión que dejaron de enviar datos.

Este método es ideal para obtener resúmenes diarios de alto nivel, pero no admite alertas y los resultados tienen una latencia de hasta 6 horas.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.