Halaman ini diterjemahkan oleh Cloud Translation API.

Pemantauan host senyap

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan metode pemantauan host senyap (SHM) Google Security Operations yang memungkinkan Anda mengidentifikasi host di lingkungan Anda yang tidak aktif.

Host diam dapat menandakan potensi penghentian pengumpulan data.

Menggunakan aturan deteksi untuk SHM

Sebaiknya Anda mengonfigurasi aturan deteksi untuk SHM.

Metode ini memantau kolom UDM (seperti hostname, ip, atau mac) dan memicu pemberitahuan jika nilai yang diharapkan belum diterima dalam jangka waktu tertentu.

Contoh aturan deteksi untuk SHM

Bagian ini berisi contoh aturan deteksi untuk SHM, yang dapat Anda gunakan atau sesuaikan dengan kebutuhan spesifik Anda. Misalnya, Anda dapat mengubah jangka waktu, menggunakan kolom lain (seperti ip), atau membagi aturan dengan cara lain.

Mendeteksi host senyap berdasarkan nama host

Contoh berikut mendeteksi host yang tidak aktif berdasarkan hostname:

Memindai jendela 20 menit.
Melacak host menggunakan ip, hostname, dan mac.
Memberikan pemberitahuan jika tidak ada peristiwa yang diterima untuk host dalam 10 menit terakhir, tetapi tidak senyap dalam 20 menit terakhir.

rule shm_using_hostname {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   // $identifier_hash = hash.sha256(strings.concat($event.principal.ip[0], $event.principal.hostname, $event.principal.mac[0]))
   $silent_hostname = $event.principal.hostname
 match:
   $silent_hostname over 10m
 outcome:
   $max_event_time = max($event.metadata.event_timestamp.seconds)
   $max_diff = timestamp.current_seconds() - $max_event_time
 condition:
   $event and $max_diff > 600
}

Mendeteksi pengumpul data senyap menggunakan label penyerapan

Contoh aturan deteksi SHM berikut:

Memindai jendela 20 menit.
Mengidentifikasi keheningan menggunakan label penyerapan ingestion_source.
Mengidentifikasi nilai dari zona waktu tertentu (dalam contoh ini, Asia/Calcutta) yang tidak aktif selama 10 menit terakhir, tetapi tidak tidak aktif dalam 20 menit terakhir.

rule shm_using_ingestion_label {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   $event.metadata.ingestion_labels.key = "ingestion_source"
   $silent_ingestion_source = $event.metadata.ingestion_labels.value
 match:
   $silent_ingestion_source over 20m
 outcome:
   $max_time_seconds = max($event.metadata.event_timestamp.seconds)
   $max_diff_seconds = timestamp.current_seconds() - $max_time_seconds
   $max_timestamp = timestamp.get_timestamp($max_time_seconds, "SECOND", "Asia/Calcutta")
   $current_timestamp = timestamp.get_timestamp(timestamp.current_seconds(), "SECOND", "Asia/Calcutta")
 condition:
   $event and $max_diff_seconds > 600
}

Menggunakan Google Cloud Monitoring dengan label penyerapan untuk SHM

Metode ini menggunakan Google Cloud Monitoring untuk memantau kecepatan penyerapan log berdasarkan label penyerapan untuk SHM.

Bagian ini menjelaskan cara menyiapkan metode ini menggunakan Bindplane, yang mencakup langkah-langkah berikut:

Mengonfigurasi BindPlane untuk SHM dengan Google Cloud Monitoring
Mengonfigurasi nilai minimum Google Cloud Monitoring untuk SHM

Setelah menyiapkan pipeline log yang menerapkan label penyerapan untuk SHM, Anda dapat menyiapkan pemberitahuan Google Cloud Monitoring per pengumpul—untuk saat tingkat penyerapan turun di bawah nilai minimum yang ditentukan. Anda dapat mengonfigurasi pemberitahuan agar dikirim ke berbagai tempat di luar Google SecOps dan mengintegrasikan pemberitahuan ke dalam alur kerja.

Manfaat metode ini:

Memantau waktu penyerapan, bukan waktu peristiwa.
Memanfaatkan kemampuan pemberitahuan lanjutan Cloud Monitoring.

Kekurangan metode ini:

Memerlukan konfigurasi terpisah di luar Google SecOps.
Dibatasi oleh jumlah label penyerapan.

Mengonfigurasi BindPlane untuk SHM dengan Google Cloud Monitoring

Prasyarat untuk mengonfigurasi Bindplane untuk SHM dengan Google Cloud Monitoring adalah sebagai berikut:

Server Bindplane yang di-deploy dan dikonfigurasi dengan Proses Standardisasi Google SecOps .
Prosesor Standardisasi Google SecOps dikonfigurasi untuk menambahkan log_type yang didukung dan label penyerapan (misalnya, ingestion_source).

Untuk mengonfigurasi Bindplane untuk SHM dengan Google Cloud Monitoring, selesaikan langkah-langkah berikut:

Kirim nama host server pengumpul sebagai atribut di setiap entri log.
Di tab Log, pilih Prosesor > Tambahkan Prosesor > Salin Kolom.
Konfigurasi pemroses Copy Field:
- Masukkan deskripsi singkat untuk resource.
- Pilih jenis telemetri Logs.
- Tetapkan kolom Copy From ke Resources.
- Tetapkan kolom Resource field ke host.name.
- Tetapkan kolom Copy To field ke Attributes.
- Tetapkan kolom Attributes Field, misalnya, ke chronicle_ingestion_label["ingestion_source"].

Mengonfigurasi nilai minimum Google Cloud Monitoring untuk SHM

Tentukan batas berdasarkan kecepatan penyerapan yang diharapkan. Nilai minimum yang lebih rendah mendeteksi gangguan pengumpul; nilai minimum yang lebih tinggi mendeteksi kesenjangan log upstream.

Setelah mengonfigurasi nilai minimum Google Cloud Monitoring untuk SHM, sebaiknya pantau metrik Chronicle Collector > Ingestion > Total Ingestion Log Count. Untuk mengetahui petunjuk penyiapan sampel yang mendetail, buka Menyiapkan kebijakan sampel untuk mendeteksi agen pengumpulan data Google SecOps yang tidak aktif.

Menggunakan dasbor Google SecOps untuk SHM

Gunakan dasbor Google SecOps untuk melihat jumlah harian host pemantauan yang tidak aktif.

Metode ini sangat cocok untuk ringkasan harian tingkat tinggi, tetapi metode ini tidak mendukung pemberitahuan, dan hasilnya memiliki latensi hingga 6 jam.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.