Esta página foi traduzida pela API Cloud Translation.

Monitorização de anfitriões silenciosos

Compatível com:

Google secops SIEM

Este documento explica os métodos através dos quais a monitorização silenciosa de anfitriões (SHM) do Google Security Operations lhe permite identificar anfitriões no seu ambiente que ficaram silenciosos.

Um anfitrião silencioso pode sinalizar potenciais paragens do coletor.

Use uma regra de deteção para o SHM

Recomendamos que configure uma regra de deteção para SHM.

Este método monitoriza os campos de UDM (como hostname, ip ou mac) e aciona um alerta quando os valores esperados não são recebidos dentro de um período especificado.

Exemplos de regras de deteção para o SHM

Esta secção contém regras de deteção de exemplo para o SHM, que pode usar ou adaptar às suas necessidades específicas. Por exemplo, pode modificar o período, usar outros campos (como ip) ou dividir a regra de outras formas.

Detete anfitriões silenciosos por nome do anfitrião

O exemplo seguinte deteta anfitriões silenciosos por hostname:

Analisa janelas de 20 minutos.
Monitoriza os anfitriões através do ip, hostname e mac.
Alerta se não tiverem sido recebidos eventos para um anfitrião nos últimos 10 minutos, mas não silencioso nos últimos 20 minutos.

rule shm_using_hostname {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   // $identifier_hash = hash.sha256(strings.concat($event.principal.ip[0], $event.principal.hostname, $event.principal.mac[0]))
   $silent_hostname = $event.principal.hostname
 match:
   $silent_hostname over 10m
 outcome:
   $max_event_time = max($event.metadata.event_timestamp.seconds)
   $max_diff = timestamp.current_seconds() - $max_event_time
 condition:
   $event and $max_diff > 600
}

Detete coletores silenciosos através de etiquetas de carregamento

A regra de deteção de exemplo seguinte para SHM:

Analisa janelas de 20 minutos.
Identifica o silêncio através da etiqueta de carregamento ingestion_source.
Identifica valores de um fuso horário especificado (neste exemplo, Asia/Calcutta) que estiveram silenciosos nos últimos 10 minutos, mas não silenciosos nos últimos 20 minutos.

rule shm_using_ingestion_label {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   $event.metadata.ingestion_labels.key = "ingestion_source"
   $silent_ingestion_source = $event.metadata.ingestion_labels.value
 match:
   $silent_ingestion_source over 20m
 outcome:
   $max_time_seconds = max($event.metadata.event_timestamp.seconds)
   $max_diff_seconds = timestamp.current_seconds() - $max_time_seconds
   $max_timestamp = timestamp.get_timestamp($max_time_seconds, "SECOND", "Asia/Calcutta")
   $current_timestamp = timestamp.get_timestamp(timestamp.current_seconds(), "SECOND", "Asia/Calcutta")
 condition:
   $event and $max_diff_seconds > 600
}

Use o Google Cloud Monitoring com etiquetas de carregamento para o SHM

Este método usa o Google Cloud Monitoring para monitorizar as taxas de carregamento de registos com base nas etiquetas de carregamento para o SHM.

Esta secção descreve como configurar este método através do Bindplane, que inclui os seguintes passos:

Configure o Bindplane para SHM com o Google Cloud Monitoring
Configure o limite do Google Cloud Monitoring para o SHM

Depois de configurar um pipeline de registos que aplique etiquetas de carregamento para o SHM, pode configurar alertas do Google Cloud Monitoring por coletor, para quando a taxa de carregamento ficar abaixo de um limite especificado. Pode configurar os alertas para serem enviados para vários locais fora do Google SecOps e integrar os alertas num fluxo de trabalho.

Vantagens deste método:

Monitoriza a hora de carregamento e não a hora do evento.
Tiram partido das capacidades de alerta avançadas do Cloud Monitoring.

Desvantagens deste método:

Requer uma configuração separada fora do Google SecOps.
Limitado pelo número de etiquetas de carregamento.

Configure o Bindplane para SHM com o Google Cloud Monitoring

Os pré-requisitos para configurar o Bindplane para SHM com o Google Cloud Monitoring são os seguintes:

Um servidor Bindplane implementado que está configurado com um processador de normalização do Google SecOps.
O processador de normalização do Google SecOps está configurado para adicionar um log_type suportado e uma etiqueta de carregamento (por exemplo, ingestion_source).

Para configurar o Bindplane para SHM com o Google Cloud Monitoring, conclua os seguintes passos:

Envie o nome de anfitrião do servidor de recolha como um atributo em cada entrada de registo.
No separador Registo, selecione Processadores > Adicionar processadores > Copiar campo.
Configure o processador Copiar campo:
- Introduza uma breve descrição do recurso.
- Escolha o Logstipo de telemetria.
- Defina o campo Copy From como Resources.
- Defina o campo Resource field como host.name.
- Defina o campo Copy To field como Attributes.
- Defina o campo Attributes Field, por exemplo, para chronicle_ingestion_label["ingestion_source"].

Configure o limite do Google Cloud Monitoring para o SHM

Defina um limite com base na taxa de carregamento esperada. Os limites inferiores detetam falhas de funcionamento do coletor; os limites superiores detetam lacunas nos registos a montante.

Depois de configurar o limite do Google Cloud Monitoring para o SHM, recomendamos que monitorize a métrica Chronicle Collector > Carregamento > Total Ingestion Log Count. Para instruções detalhadas de configuração de amostras, aceda a Configure uma política de amostra para detetar agentes de recolha silenciosos do Google SecOps.

Use um painel de controlo do Google SecOps para SHM

Use um painel de controlo do Google SecOps para ver as contagens diárias de anfitriões de monitorização que ficaram inativos.

Este método é excelente para obter vistas gerais diárias de alto nível, mas não suporta alertas e os resultados têm uma latência de até 6 horas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.