Surveillance des hôtes silencieux

Compatible avec :

Ce document explique comment la surveillance silencieuse des hôtes (SHM) de Google Security Operations vous permet d'identifier les hôtes de votre environnement qui sont devenus silencieux.

Un hôte silencieux peut signaler des arrêts potentiels du collecteur.

Utiliser une règle de détection pour SHM

Nous vous recommandons de configurer une règle de détection pour SHM.

Cette méthode surveille les champs UDM (tels que hostname, ip ou mac) et déclenche une alerte lorsque les valeurs attendues n'ont pas été reçues dans un délai spécifié.

Exemples de règles de détection pour SHM

Cette section contient des exemples de règles de détection pour SHM, que vous pouvez utiliser ou adapter à vos besoins spécifiques. Par exemple, vous pouvez modifier la période, utiliser d'autres champs (comme ip) ou diviser la règle d'une autre manière.

Détecter les hôtes silencieux par nom d'hôte

L'exemple suivant détecte les hôtes silencieux par hostname :

  • Analyse les fenêtres de 20 minutes.
  • Suit les hôtes à l'aide de ip, hostname et mac.
  • Alerte si aucun événement n'a été reçu pour un hôte au cours des 10 dernières minutes, mais pas silencieux au cours des 20 dernières minutes.
rule shm_using_hostname {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   // $identifier_hash = hash.sha256(strings.concat($event.principal.ip[0], $event.principal.hostname, $event.principal.mac[0]))
   $silent_hostname = $event.principal.hostname
 match:
   $silent_hostname over 10m
 outcome:
   $max_event_time = max($event.metadata.event_timestamp.seconds)
   $max_diff = timestamp.current_seconds() - $max_event_time
 condition:
   $event and $max_diff > 600
}

Détecter les collecteurs silencieux à l'aide de libellés d'ingestion

Exemple de règle de détection pour SHM :

  • Analyse les fenêtres de 20 minutes.
  • Identifie le silence à l'aide du libellé d'ingestion ingestion_source.
  • Identifie les valeurs d'un fuseau horaire spécifié (Asie/Calcutta dans cet exemple) qui ont été silencieuses au cours des 10 dernières minutes, mais pas au cours des 20 dernières minutes.
rule shm_using_ingestion_label {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   $event.metadata.ingestion_labels.key = "ingestion_source"
   $silent_ingestion_source = $event.metadata.ingestion_labels.value
 match:
   $silent_ingestion_source over 20m
 outcome:
   $max_time_seconds = max($event.metadata.event_timestamp.seconds)
   $max_diff_seconds = timestamp.current_seconds() - $max_time_seconds
   $max_timestamp = timestamp.get_timestamp($max_time_seconds, "SECOND", "Asia/Calcutta")
   $current_timestamp = timestamp.get_timestamp(timestamp.current_seconds(), "SECOND", "Asia/Calcutta")
 condition:
   $event and $max_diff_seconds > 600
}

Utiliser Google Cloud Monitoring avec des libellés d'ingestion pour SHM

Cette méthode utilise Google Cloud Monitoring pour surveiller les taux d'ingestion de journaux en fonction des libellés d'ingestion pour SHM.

Cette section explique comment configurer cette méthode à l'aide de Bindplane, qui comprend les étapes suivantes :

  1. Configurer Bindplane pour SHM avec Google Cloud Monitoring
  2. Configurer le seuil Google Cloud Monitoring pour SHM

Une fois que vous avez configuré un pipeline de journaux qui applique des libellés d'ingestion pour SHM, vous pouvez configurer des alertes Google Cloud Monitoring par collecteur, pour le cas où le taux d'ingestion tombe en dessous d'un seuil spécifié. Vous pouvez configurer les alertes pour qu'elles soient envoyées à différents endroits en dehors de Google SecOps et les intégrer à un workflow.

Avantages de cette méthode :

  • Surveille le temps d'ingestion, et non le temps de l'événement.
  • Exploite les fonctionnalités d'alerte avancées de Cloud Monitoring.

Inconvénients de cette méthode :

  • Nécessite une configuration distincte en dehors de Google SecOps.
  • Limité par le nombre de libellés d'ingestion.

Configurer Bindplane pour SHM avec Google Cloud Monitoring

Voici les conditions préalables pour configurer Bindplane pour SHM avec Google Cloud Monitoring :

Pour configurer Bindplane pour SHM avec Google Cloud Monitoring, procédez comme suit :

  1. Envoyez le nom d'hôte du serveur collecteur en tant qu'attribut dans chaque entrée de journal.
  2. Dans l'onglet Journal, sélectionnez Processeurs > Ajouter des processeurs > Copier le champ.
  3. Configurez le processeur Copier le champ :
    • Saisissez une brève description de la ressource.
    • Choisissez le type de télémétrie Logs.
    • Définissez le champ Copy From sur Resources.
    • Définissez le champ Resource field sur host.name.
    • Définissez le champ Copy To field sur Attributes.
    • Définissez le champ Attributes Field sur chronicle_ingestion_label["ingestion_source"], par exemple.

Configurer le seuil Google Cloud Monitoring pour SHM

Définissez un seuil en fonction de votre taux d'ingestion attendu. Des seuils plus bas détectent les pannes du collecteur, tandis que des seuils plus élevés détectent les lacunes dans les journaux en amont.

Après avoir configuré le seuil Google Cloud Monitoring pour SHM, nous vous recommandons de surveiller la métrique Nombre total de journaux d'ingestion sous Collecteur Chronicle > Ingestion >. Pour obtenir des instructions détaillées sur la configuration d'un exemple, consultez Configurer un exemple de règle pour détecter les agents de collecte Google SecOps silencieux.

Utiliser un tableau de bord Google SecOps pour SHM

Utilisez un tableau de bord Google SecOps pour afficher le nombre quotidien d'hôtes de surveillance qui sont devenus silencieux.

Cette méthode est idéale pour obtenir des aperçus quotidiens généraux, mais elle ne prend pas en charge les alertes et les résultats ont une latence pouvant atteindre six heures.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.