이 페이지는 Cloud Translation API를 통해 번역되었습니다.

무음 호스트 모니터링

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 자동 호스트 모니터링 (SHM)을 통해 환경에서 자동 모니터링이 중지된 호스트를 식별하는 방법을 설명합니다.

무음 호스트는 잠재적인 수집기 중지를 알릴 수 있습니다.

SHM 감지 규칙 사용

SHM의 감지 규칙을 구성하는 것이 좋습니다.

이 메서드는 UDM 필드 (예: hostname, ip 또는 mac)를 모니터링하고 지정된 기간 내에 예상 값이 수신되지 않으면 알림을 트리거합니다.

SHM의 감지 규칙 예시

이 섹션에는 SHM의 감지 규칙 예시가 포함되어 있으며, 이를 사용하거나 특정 요구사항에 맞게 조정할 수 있습니다. 예를 들어 기간을 수정하거나, ip와 같은 다른 필드를 사용하거나, 다른 방식으로 규칙을 분할할 수 있습니다.

호스트 이름으로 무음 호스트 감지

다음 예에서는 hostname로 무음 호스트를 감지합니다.

20분 기간을 검색합니다.
ip, hostname, mac를 사용하여 호스트를 추적합니다.
지난 10분 동안 호스트에 대해 수신된 이벤트가 없지만 지난 20분 동안 무음이 아닌 경우 알림을 표시합니다.

rule shm_using_hostname {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   // $identifier_hash = hash.sha256(strings.concat($event.principal.ip[0], $event.principal.hostname, $event.principal.mac[0]))
   $silent_hostname = $event.principal.hostname
 match:
   $silent_hostname over 10m
 outcome:
   $max_event_time = max($event.metadata.event_timestamp.seconds)
   $max_diff = timestamp.current_seconds() - $max_event_time
 condition:
   $event and $max_diff > 600
}

수집 라벨을 사용하여 자동 수집기 감지

다음은 SHM의 감지 규칙 예시입니다.

20분 기간을 검색합니다.
ingestion_source 수집 라벨을 사용하여 무음을 식별합니다.
지난 10분 동안 무음이었지만 지난 20분 동안은 무음이 아닌 지정된 시간대 (이 예에서는 Asia/Calcutta)의 값을 식별합니다.

rule shm_using_ingestion_label {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   $event.metadata.ingestion_labels.key = "ingestion_source"
   $silent_ingestion_source = $event.metadata.ingestion_labels.value
 match:
   $silent_ingestion_source over 20m
 outcome:
   $max_time_seconds = max($event.metadata.event_timestamp.seconds)
   $max_diff_seconds = timestamp.current_seconds() - $max_time_seconds
   $max_timestamp = timestamp.get_timestamp($max_time_seconds, "SECOND", "Asia/Calcutta")
   $current_timestamp = timestamp.get_timestamp(timestamp.current_seconds(), "SECOND", "Asia/Calcutta")
 condition:
   $event and $max_diff_seconds > 600
}

SHM의 수집 라벨과 함께 Google Cloud Monitoring 사용

이 방법은 Google Cloud Monitoring을 사용하여 SHM의 수집 라벨을 기반으로 로그 수집 비율을 모니터링합니다.

이 섹션에서는 다음 단계를 포함하는 Bindplane을 사용하여 이 메서드를 설정하는 방법을 설명합니다.

Google Cloud Monitoring으로 SHM용 Bindplane 구성
SHM의 Google Cloud Monitoring 임계값 구성

SHM의 수집 라벨을 적용하는 로그 파이프라인을 설정한 후 수집 속도가 지정된 기준점 아래로 떨어지는 경우에 대비하여 수집기별로 Google Cloud Monitoring 알림을 설정할 수 있습니다. Google SecOps 외부의 다양한 위치로 알림을 전송하도록 구성하고 알림을 워크플로에 통합할 수 있습니다.

이 방법의 이점은 다음과 같습니다.

이벤트 시간이 아닌 수집 시간을 모니터링합니다.
Cloud Monitoring의 고급 알림 기능을 활용합니다.

이 방법의 단점은 다음과 같습니다.

Google SecOps 외부에서 별도의 구성이 필요합니다.
수집 라벨 수에 따라 제한됩니다.

Google Cloud Monitoring으로 SHM용 Bindplane 구성

Google Cloud Monitoring으로 SHM용 Bindplane을 구성하기 위한 기본 요건은 다음과 같습니다.

Google SecOps 표준화 프로세서로 구성된 배포된 Bindplane 서버
Google SecOps 표준화 프로세서는 지원되는 log_type 및 수집 라벨 (예: ingestion_source)을 추가하도록 구성됩니다.

Google Cloud Monitoring을 사용하여 SHM용 Bindplane을 구성하려면 다음 단계를 완료하세요.

각 로그 항목에서 수집기 서버의 호스트 이름을 속성으로 전송합니다.
로그 탭에서 프로세서 > 프로세서 추가 > 필드 복사를 선택합니다.
Copy Field 프로세서를 구성합니다.
- 리소스에 대한 간단한 설명을 입력합니다.
- Logs 원격 분석 유형을 선택합니다.
- Copy From 필드를 Resources로 설정합니다.
- Resource field 필드를 host.name로 설정합니다.
- Copy To field 필드를 Attributes로 설정합니다.
- Attributes Field 필드를 chronicle_ingestion_label["ingestion_source"]로 설정합니다.

SHM의 Google Cloud Monitoring 임계값 구성

예상 수집률을 기반으로 기준점을 정의합니다. 낮은 임계값은 수집기 서비스 중단을 감지하고 높은 임계값은 업스트림 로그 격차를 감지합니다.

SHM의 Google Cloud Monitoring 임계값을 구성한 후에는 Chronicle 수집기 > 수집 > 수집된 총 로그 수 측정항목을 모니터링하는 것이 좋습니다. 자세한 샘플 설정 안내는 조용한 Google SecOps 수집 에이전트를 감지하도록 샘플 정책 설정을 참고하세요.

SHM에 Google SecOps 대시보드 사용

Google SecOps 대시보드를 사용하여 무음 상태가 된 모니터링 호스트의 일일 수를 확인합니다.

이 방법은 일일 개요를 확인하는 데 유용하지만 알림을 지원하지 않으며 결과에 최대 6시간의 지연 시간이 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.