Gerenciar as configurações de encaminhadores por meio da interface das Operações de segurança do Google

Esta página descreve como criar, gerenciar e fazer o download de configurações do encaminhador usando a interface do usuário (UI) do Google Security Operations. Você também pode realizar essas tarefas de forma programática usando a API Forwarder Management.

Convenções de nomenclatura

Este documento usa estas convenções de nomenclatura:

  • Encaminhador de operações de segurança do Google: o componente de software implantado.
  • encaminhador: o nome curto de uma configuração de encaminhador quando ela é armazenada na instância do Google Security Operations.
  • collector: é o nome curto de uma configuração de coletor quando ela é armazenada na instância de Operações de segurança do Google.

Adicionar encaminhadores

Adicionar um encaminhador é a primeira etapa da configuração de um encaminhador de operações de segurança do Google. Adicionar um encaminhador permite que você faça o seguinte:

  • Nomeie uma configuração de encaminhador.
  • Especifique valores de configuração do encaminhador.

Adicionar um novo encaminhador cria uma configuração parcialmente completa. Para concluir a configuração do encaminhador, é necessário adicionar um coletor. Depois de adicionar pelo menos um coletor, faça o download da configuração do encaminhador e implante-a em uma máquina ou dispositivo em que o encaminhador de operações de segurança do Google esteja instalado.

Em vez de adicionar um novo encaminhador, é possível clonar um ou mais encaminhadores existentes. Para mais detalhes, consulte Encaminhar encaminhadores de clones.

Para adicionar um novo encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores.
  3. Clique em Adicionar novo encaminhador.
  4. No campo Nome do encaminhador, digite um nome.

  5. Opcional: expanda a seção Valores de configuração e especifique uma das opções a seguir:

    • Compactação de upload:selecione Sim para compactar os dados de registro antes do upload para o Google Security Operations. O padrão é Não. Para detalhes sobre a compactação de dados, consulte Compactação de upload.
    • Namespace do recurso:digite um namespace que identifique os registros coletados por esse encaminhador. Esse namespace será aplicado a todos os coletores adicionados a esse encaminhador, a menos que você especifique um namespace para um coletor no nível do coletor. Se você especificar um namespace no nível do encaminhador e do coletor, o namespace do coletor será usado em vez do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave e Valor do rótulo:digite uma chave e um valor. Se quiser, clique em Adicionar novo rótulo para incluir um ou mais pares de chave-valor de rótulo. Essa é uma configuração global que se aplica ao encaminhador e nos coletores dele, a menos que seja substituída no nível do coletor. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro: adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) que corresponde a cada linha de entrada do registro bruto. O Comportamento do filtro determina se a linha recebida deve ser allow ou block em uma correspondência. Por padrão, inclusive quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha recebida e, em seguida, continuar avaliando a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  6. (Somente coleção Syslog) Opcional: ative a opção Configurações do servidor para configurar o servidor HTTP integrado do encaminhador, que pode ser usado para definir opções de balanceamento de carga e alta disponibilidade para a coleta de syslog no Linux. Para mais detalhes sobre essas configurações, consulte Configurações do servidor HTTP para a coleção de syslog.

  7. Clique em Enviar.

    O encaminhador será adicionado, e a janela Adicionar configuração do coletor será exibida.

  8. No campo Nome do coletor, digite um nome.

  9. Clique no campo Tipo de registro para ver uma lista de tipos de registro e siga um destes procedimentos:

    • Se você não encontrar o tipo de registro que quer, comece a digitar o nome dele na caixa para conferir mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
    • Selecione um tipo de registro na lista.

  10. Opcional: expanda a seção Valores de configuração e especifique um dos seguintes itens:

    • Namespace do recurso:digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave e valor do rótulo:digite uma chave e um valor. Se quiser, clique em Adicionar outro para incluir um ou mais pares de chave-valor de rótulo. Nos registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro: adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) correspondentes a cada linha de entrada do registro bruto. O comportamento do filtro determina se a linha recebida (allow ou block) é aplicada em uma correspondência. Por padrão, inclusive quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha recebida e, em seguida, continuar avaliando a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  11. Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:

    • Máximo de segundos por lote: o número de segundos entre os lotes. O padrão é 10.
    • Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é 1048576.

  12. Opcional: buffer de disco:defina o botão como on para ativar o armazenamento em buffer de disco para o coletor. Para detalhes sobre armazenamento em buffer de disco, consulte Buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:

    • Caminho do diretório:o caminho do diretório dos arquivos gravados.
    • Máximo de bytes do buffer do arquivo: o tamanho máximo do disco usado pelo coletor antes que as mensagens do backlog sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

  13. Clique no campo Tipo de coletor e selecione uma opção. Cada tipo de coletor tem as próprias configurações. Para detalhes sobre os tipos de coletor e as respectivas configurações, consulte Configurações do tipo de coletor.

  14. Clique em Enviar.

Adicionar coletores

É possível adicionar um ou mais coletores a um encaminhador atual.

Ao adicionar um coletor, é possível fazer o seguinte:

  • Dê um nome ao coletor.
  • Especifique o tipo de registro a ser coletado, como Firewall Pan, Firewall Cisco ASA e outros.
  • Especifique o tipo de coletor: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
  • Especifique os valores de configuração do coletor.

Depois de adicionar pelo menos um coletor a um encaminhador, faça o download da configuração dele e implante-a em uma máquina ou dispositivo em que o encaminhador de operações de segurança do Google esteja instalado.

Para adicionar um novo coletor a um encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores.
  3. Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisar.
  4. Mantenha o ponteiro do mouse sobre o encaminhador a que você quer adicionar um coletor. O ícone do menu de expansão é exibido.
  5. Clique no ícone do menu de expansão.
  6. Selecione Adicionar novo coletor.
  7. No campo Nome do coletor, digite um nome.

  8. Clique no campo Tipo de registro para ver uma lista de tipos de registro e siga um destes procedimentos:

    • Se você não encontrar o tipo de registro que quer, comece a digitar o nome dele na caixa para conferir mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
    • Selecione um tipo de registro na lista.

  9. Opcional: expanda a seção Valores de configuração e especifique um dos seguintes itens:

    • Namespace do recurso:digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave e valor do rótulo:digite uma chave e um valor. Se quiser, clique em Adicionar outro para incluir um ou mais pares de chave-valor de rótulo. Nos registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro: adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) correspondentes a cada linha de entrada do registro bruto. O comportamento do filtro determina se a linha recebida (allow ou block) é aplicada em uma correspondência. Por padrão, inclusive quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha recebida e, em seguida, continuar avaliando a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  10. Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:

    • Máximo de segundos por lote: o número de segundos entre os lotes. O padrão é 10.
    • Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é 1048576.

  11. Opcional: buffer de disco:defina o botão como on para ativar o armazenamento em buffer de disco para o coletor. Para detalhes sobre armazenamento em buffer de disco, consulte Buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:

    • Caminho do diretório:o caminho do diretório dos arquivos gravados.
    • Máximo de bytes do buffer do arquivo: o tamanho máximo do disco usado pelo coletor antes que as mensagens do backlog sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

  12. Clique no campo Tipo de coletor e selecione uma opção. Cada tipo de coletor tem as próprias configurações. Para detalhes sobre os tipos de coletor e as respectivas configurações, consulte Configurações do tipo de coletor.

  13. Clique em Enviar.

Gerenciar encaminhadores

Listar os encaminhadores em uma instância das Operações de segurança do Google

Para listar os encaminhadores em uma instância das Operações de segurança do Google, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
  3. Opcional: classifique a lista clicando na coluna Nome ou Última atualização.

Se quiser, use o campo de pesquisa para restringir os resultados na lista.

Clone encaminhadores

Com a clonagem, é possível criar uma cópia de uma ou mais configurações de encaminhador.

Para clonar encaminhadores, siga estas etapas:

  1. Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer clonar.

  2. Clique no ícone do menu de expansão.

  3. Selecione Clonar selecionados.

  4. Clique em Clone. Uma cópia de cada encaminhador é adicionada.

Editar uma configuração de encaminhador

Para editar uma configuração de encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Mantenha o ponteiro do mouse sobre o encaminhador cuja configuração você quer editar. O ícone do menu de expansão é exibido.

  4. Clique no ícone do menu de expansão.

  5. Escolha Editar configuração do encaminhador.

  6. Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar encaminhadores.

  7. Clique em Enviar.

Excluir encaminhadores

Para excluir encaminhadores, siga estas etapas:

  1. Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer excluir.

  2. Clique no ícone do menu de expansão.

  3. Selecione Excluir selecionados.

  4. Clique em Excluir selecionados.

Gerenciar coletores

Liste os coletores em uma instância do Google Security Operations

Para listar os coletores em uma instância do Google Security Operations, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
  3. Clique na seta de expansão ao lado do título da coluna Nome. Isso expande todos os encaminhadores, exibindo até cinco coletores para cada um.
  4. Se um encaminhador tiver mais de cinco coletores, clique no link Ver todos os coletores.

Editar a configuração do coletor

Para editar a configuração de um coletor, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Clique na seta de expansão do encaminhador em que você quer editar um coletor.

  4. Se houver mais de cinco coletores, clique no link Ver todos os coletores.

  5. Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Editar é exibido.

  6. Clique em Editar.

  7. Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar coletores.

  8. Clique em Enviar.

Excluir um coletor

Para excluir um coletor, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Clique na seta de expansão do encaminhador de que você quer excluir um coletor.

  4. Se houver mais de cinco coletores, clique no link Ver todos os coletores.

  5. Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Excluir vai aparecer.

  6. Clique no link Excluir.

  7. Para confirmar, clique no botão Excluir.

Fazer o download dos arquivos de configuração

O download de um encaminhador requer pelo menos um coletor. Se você tentar fazer o download de um encaminhador sem um coletor, receberá uma mensagem de erro.

Você pode fazer o download do arquivo de configuração (.conf), de autenticação (_auth.conf) ou de ambos para qualquer encaminhador listado na sua instância do Google Security Operations, desde que ele tenha pelo menos um coletor. Depois de fazer o download dos arquivos, implante-os no sistema Windows ou Linux em que o Encaminhador de operações de segurança do Google reside.

Para fazer o download dos arquivos de configuração do encaminhador:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisar.

  4. Mantenha o ponteiro do mouse sobre o encaminhador do qual você quer fazer o download dos arquivos de configuração. O ícone do menu de expansão é exibido.

  5. Clique no ícone do menu de expansão.

  6. Selecione Fazer o download.

  7. Na caixa de diálogo Fazer o download da configuração do encaminhador, siga um destes procedimentos:

    • Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo .conf.
    • Para fazer o download do arquivo de autenticação do encaminhador, clique no ícone de download ao lado do tipo de arquivo _auth.conf.
    • Para fazer o download dos dois arquivos, clique em Fazer o download de tudo.

Referência das definições de configuração

As configurações de encaminhamento incluem um ou mais coletores.

É possível definir as seguintes configurações no nível do encaminhador:

É possível definir as configurações a seguir no nível do encaminhador e do coletor. Para entender o resultado da configuração nos dois níveis, consulte a seção correspondente.

É possível definir as seguintes configurações no nível do coletor:

Compactação de upload

Padrão:ativado

É possível configurar a compactação de upload para um encaminhador, mas não para um coletor. Quando ativada, essa configuração compacta os registros antes de serem enviados para o Google Security Operations. Isso reduz o consumo de largura de banda da rede durante a transferência para as Operações de segurança do Google. No entanto, a compactação pode aumentar o uso da CPU.

O equilíbrio entre o uso de largura de banda e de CPU depende de muitos fatores, incluindo o tipo de dados de registro, a compactação desses dados, a disponibilidade de ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo de largura de banda da rede. Por exemplo, os registros baseados em texto são bem compactados e podem oferecer economia substancial de largura de banda com baixo uso da CPU. No entanto, os payloads criptografados de pacotes brutos não são compactados corretamente e aumentam o uso da CPU.

Namespaces de recursos

Padrão:o campo fica vazio se não for especificado.

É possível configurar um namespace de recurso para um encaminhador, um coletor ou ambos. É possível usar um namespace para identificar registros de segmentos de rede distintos e endereços IP sobrepostos de cancelamento de conflito. Todos os namespaces configurados aparecem com os recursos associados na interface do usuário das Operações de segurança do Google. Também é possível pesquisar namespaces usando o recurso de pesquisa do Google Security Operations.

É possível especificar um namespace para um encaminhador e namespaces diferentes para um ou mais coletores dele. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor.

Para informações sobre como usar namespaces, consulte Namespaces de recursos.

Rótulos

Padrão:os campos ficam vazios se não forem especificados.

É possível configurar rótulos para um encaminhador, um coletor ou ambos. Os rótulos são usados para anexar metadados arbitrários a registros usando pares de chave-valor. Os rótulos podem ser configurados para todo um encaminhador ou dentro de um coletor específico de um encaminhador. Se ambos forem fornecidos, os rótulos serão mesclados com as chaves do coletor com precedência sobre as chaves do encaminhador se as chaves se sobrepuserem.

Filtros de expressão regular

Padrão:os campos ficam vazios se não forem especificados.

É possível configurar filtros de expressão regular para um encaminhador, coletor ou ambos. Os filtros de expressão regular permitem bloquear ou permitir linhas de entrada de um registro bruto que corresponda à expressão.

Os filtros usam a sintaxe RE2.

Os filtros precisam incluir uma expressão regular e, opcionalmente, definir um comportamento quando há uma correspondência. O comportamento padrão em uma correspondência é de bloco. Também é possível configurá-la explicitamente como bloqueio.

Como alternativa, especifique filtros com o comportamento allow. Se você especificar filtros de permissão, o encaminhador bloqueará todos os registros que não corresponderem a pelo menos um filtro de permissão.

É possível definir um número arbitrário de filtros. Os filtros de bloqueio têm prioridade sobre os filtros de permissão.

Quando os filtros são definidos, é necessário atribuir um nome a eles. Os nomes dos filtros ativos são informados ao Google Security Operations usando métricas de integridade do encaminhador. Os filtros definidos no nível do encaminhador são mesclados com aqueles definidos no nível do coletor. Os filtros no nível do coletor têm precedência em casos de nomes conflitantes. Se nenhum filtro for definido no nível do encaminhador ou do coletor, o comportamento será permitir todos.

Configurações do servidor HTTP para a coleção de syslog

O encaminhador do Google Security Operations pode ser implantado em um ambiente em que um balanceador de carga de camada 4 esteja instalado entre a origem de dados e as instâncias do encaminhador. Isso permite que você distribua a coleção de registros em vários encaminhadores ou envie registros para um encaminhador diferente se um deles falhar. Esse recurso só é compatível com o tipo de coleção "syslog".

O encaminhador inclui um servidor HTTP integrado que responde a verificações de integridade HTTP do balanceador de carga. O servidor HTTP também ajuda a garantir que os registros não sejam perdidos durante a inicialização ou o encerramento de um encaminhador.

As definições do servidor nas configurações do encaminhador são compatíveis com a definição de durações de tempo limite e códigos de status retornados em resposta às verificações de integridade recebidas no programador de contêiner e implantações baseadas em orquestração, bem como em balanceadores de carga tradicionais.

Use os caminhos de URL abaixo para verificações de integridade, prontidão e atividade. Os valores <host:port> são definidos na configuração do encaminhador.

  • http://<host:port>/meta/available: verificações de atividade para programadores/orquestradores de contêiner, como o Kubernetes.
  • http://<host:port>/meta/ready: verificações de prontidão e verificações de integridade de balanceadores de carga tradicionais.
Configuração Descrição
Tempo limite sem limite A quantidade de tempo que novas conexões ainda são aceitas depois que o encaminhador retorna um status "não lido" em resposta a uma verificação de integridade. Esse também é o tempo de espera entre o recebimento de um sinal para parar e o início do encerramento do próprio servidor. Isso permite que o balanceador de carga tenha tempo para remover o encaminhador do pool.

Os valores válidos estão disponíveis em segundos. Por exemplo, para especificar 10 segundos, digite 10.. Valores decimais não são permitidos.

Padrão:15 segundos
Tempo limite de drenagem O tempo que o encaminhador espera que as conexões ativas sejam fechadas por conta própria antes de ser encerrada pelo servidor. Por exemplo, para especificar 5 segundos, digite 5.. Valores decimais não são permitidos.

Padrão:10 segundos
Port O número da porta que o servidor HTTP detecta para verificações de integridade do balanceador de carga. O valor precisa estar entre 1024 e 65535.

Padrão: 8080
Endereço IP/nome do host O endereço IP ou um nome de host que pode ser resolvido para um endereço IP que o servidor precisa ouvir.

Padrão:0.0.0.0 (o sistema local)
Tempo limite de leitura Usado para ajustar o servidor HTTP. Normalmente, não é preciso alterar a configuração padrão. A quantidade máxima de tempo permitida para ler toda a solicitação, tanto o cabeçalho quanto o corpo. É possível definir o campo tempo limite de leitura e o campo tempo limite de leitura do cabeçalho.

Padrão:3 segundos
Tempo limite de leitura do cabeçalho Usado para ajustar o servidor HTTP. Normalmente, não é preciso alterar a configuração padrão. A quantidade máxima de tempo permitida para ler cabeçalhos de solicitação. O prazo de leitura da conexão é redefinido depois da leitura do cabeçalho.

Padrão:3 segundos
Tempo limite de gravação Usado para ajustar o servidor HTTP. Normalmente, não é preciso alterar a configuração padrão. O tempo máximo permitido para enviar uma resposta. Ele é redefinido quando um novo cabeçalho de solicitação é lido.

Padrão:3 segundos
Tempo limite de inatividade Usado para ajustar o servidor HTTP. Normalmente, não é preciso alterar a configuração padrão. O período máximo de espera pela próxima solicitação quando as conexões inativas estão ativadas. Se o campo tempo limite de inatividade estiver definido como zero, será usado o valor do campo tempo limite de leitura. Se ambos forem zero, o campo tempo limite do cabeçalho de leitura será usado.

Padrão:3 segundos
Código de status disponível O código de status que o encaminhador retorna quando uma verificação de atividade é recebida e ele está disponível. Programadores e orquestradores de contêiner, como o Kubernetes, geralmente enviam verificações de atividade.

Padrão:204
Código de status "Pronto" O código de status que o encaminhador retorna quando está pronto para aceitar o tráfego em uma das seguintes situações:
  • Uma verificação de prontidão é recebida de um programador ou orquestrador de contêiner, como o Kubernetes.
  • Uma verificação de integridade é recebida de um balanceador de carga tradicional.
Padrão:204
O código de status não está pronto O código de status que o encaminhador retorna quando não está pronto para aceitar o tráfego.

Padrão: 503

Tipo de registro

Para uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.

Armazenamento em buffer de disco

O armazenamento em buffer de disco permite armazenar em buffer as mensagens acumuladas no disco, e não na memória. As mensagens acumuladas podem ser armazenadas em caso de falha do encaminhador ou do host subjacente. Esteja ciente de que ativar o armazenamento em buffer do disco pode afetar o desempenho.

Se o armazenamento em buffer de disco estiver desativado, o coletor usará 1 GB de memória (RAM) para os registros coletados. É possível especificar o máximo usando a configuração Máximo de bytes de buffer de arquivo na configuração do coletor. Isso determina o tamanho máximo de RAM usado pelo coletor antes que as mensagens acumuladas sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

Se você estiver executando o encaminhador usando o Docker, o Google recomenda montar um volume separado do volume de configuração para fins de isolamento. Além disso, cada entrada precisa ser isolada com o próprio diretório ou volume para evitar conflitos.

Configurações do tipo de coletor

Cada configuração do coletor precisa especificar um tipo de coletor. Nesta seção, descrevemos os tipos de coletor e as configurações deles.

Arquivo

Use o tipo de coletor file para fazer upload de registros de um único arquivo de registros.

Campo Campo obrigatório ou opcional para esse tipo Descrição
Caminho do arquivo Obrigatório O caminho do diretório e o nome do arquivo. Por exemplo:

/opt/chronicle/edr/output/sample.txt

Kafka

Use o tipo de coletor kafka para ingerir dados de tópicos do Kafka. Os grupos de consumidores do Kafka são aproveitados para permitir que você implante até três encaminhadores de operações de segurança do Google para extrair dados do mesmo tópico do Kafka. Para saber mais, consulte o Kafka. Para mais informações sobre os grupos de consumidores do Kafka, consulte Consumidor do Kafka.

Campo Obrigatório ou opcional para este tipo Descrição
Nome de usuário Obrigatório O nome de usuário de uma identidade usada para autenticação.
Senha Obrigatório A senha da conta associada ao nome de usuário.
Tópico Obrigatório O tópico Kafka a partir do qual ingerir dados.
ID do grupo Obrigatório Um ID de grupo.
Tempo limite Obrigatório O número máximo de segundos que um discador aguardará até que uma conexão seja concluída.

Padrão: 60
Agentes Opcional Insira um corretor na caixa de texto. Por exemplo:

broker-1:9092


Clique em Adicionar outro para adicionar outro corretor.

Observação:todos os valores são substituídos durante uma operação de atualização. Portanto, para atualizar uma lista de agentes e adicionar um novo agente, especifique todos os agentes atuais e o novo.
Certificado TLS Obrigatório O caminho e o nome de arquivo do certificado. Por exemplo:

/path/to/cert.pem

Chave de certificado TLS Obrigatório O caminho e o nome do arquivo da chave de certificado. Por exemplo:

/path/to/cert.key

Versão mínima de TLS Obrigatório A versão mínima do TLS.

Exemplo: TLSv1_3
Verificação de pulo não segura TLS Obrigatório Ativa a verificação de certificação SSL.

Padrão:desativado

Pcap

Esta seção abrange os seguintes tópicos:

Como usar o pcap no Windows

O encaminhador de Operações de segurança do Google pode capturar pacotes diretamente de uma interface de rede usando Npcap em sistemas Windows.

Entre em contato com o suporte das Operações de segurança do Google para atualizar o arquivo de configuração do encaminhador das Operações de segurança do Google para oferecer suporte à captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:

  • Instale o Npcap no host do Microsoft Windows.
  • No host do Windows, conceda privilégios de administrador ou raiz do encaminhador das Operações de segurança do Google para monitorar a interface de rede.
  • Nenhuma opção de linha de comando é necessária.
  • Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Como usar o pcap no Linux

Use o tipo de coletor pcap para capturar pacotes diretamente de uma interface de rede usando o libcap no Linux. Para mais informações sobre o libcap, consulte libcap: página manual do Linux (em inglês).

Os pacotes são capturados e enviados para as Operações de segurança do Google em vez das entradas de registro. A captura de pacotes é processada apenas em uma interface local.

As Operações de segurança do Google configuram o encaminhador das Operações de segurança do Google com a expressão do Filtro de pacotes Berkeley (BPF, na sigla em inglês) usada na captura de pacotes (por exemplo, a porta 53 e não o localhost). Para mais informações, consulte Filtros de pacotes Berkeley.

Configurações do coletor para pcap

As mesmas configurações do coletor se aplicam a um host do Linux ou do Windows.

Campo Obrigatório ou opcional para este tipo Descrição
Interface de rede Obrigatório A interface para detectar dados PCAP.

Observação:para um host do Windows, esse é o GUID da interface usada para capturar pacotes. Para conseguir esse valor, execute getmac.exe na máquina em que o encaminhador de operações de segurança do Google está instalado (o servidor ou a máquina que detecta a porta de span). A saída getmac.exe começa com \Device\Tcpip_. Substitua por \Device\NPF_.

Exemplo:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro de pacote Berkeley Obrigatório O Filtro de pacotes Berkeley (BPF) para pcap.

Exemplo: udp port 53

Splunk

Use o tipo de coletor splunk para coletar dados do Splunk.

Campo Obrigatório ou opcional para este tipo Descrição
Nome de usuário Obrigatório O nome de usuário de uma identidade usada para autenticação.
Senha Obrigatório A senha da conta identificada pelo nome de usuário.
Host Obrigatório O host ou endereço IP da API REST do Splunk.

Exemplo: https://10.0.113.15
Porta Obrigatório A porta da API REST do Splunk.
Tamanho mínimo da janela Obrigatório O intervalo de tempo mínimo em segundos passado para a consulta do Splunk. Esse parâmetro é usado para ajustes se o requisito for alterar a frequência com que o servidor do Splunk é consultado quando o encaminhador está em estado estável. Além disso, quando há um atraso, a chamada de API do Splunk pode ser feita várias vezes.

Padrão: 10
Tamanho máximo da janela Obrigatório O intervalo de tempo máximo em segundos passados para a consulta do Splunk. Esse parâmetro é usado para fazer ajustes quando há um atraso ou são necessários mais dados por consulta.

Altere esse parâmetro (igual ou maior que) ao alterar o parâmetro mínimo. Casos de atraso poderão ocorrer se uma chamada de consulta do Splunk estiver demorando mais do que o tamanho máximo da janela.

Observação : os períodos nunca se sobrepõem quando o servidor Splunk é consultado. O intervalo de tempo consultado está sempre entre os parâmetros mínimo e máximo da janela.

Padrão:30
String de consulta Obrigatório A consulta usada para filtrar registros no Splunk.

Exemplo: search index=* sourcetype=dns
Modo de consulta Obrigatório O modo de consulta para o Splunk.

Exemplo: realtime
Certificado ignorado Opcional Se ativado, o certificado será ignorado.

Padrão:desativado

Syslog

Use o tipo de coletor syslog para coletar dados de syslog. É possível configurar qualquer dispositivo ou servidor compatível com o envio de dados de syslog em uma conexão TCP ou UDP para encaminhar os dados ao Encaminhador de operações de segurança do Google. É possível controlar os dados exatos que o dispositivo ou servidor envia para o encaminhador de operações de segurança do Google. O encaminhador de operações de segurança do Google poderá encaminhar os dados para as operações de segurança do Google.

Campo Obrigatório ou opcional para este tipo Descrição
Protocolo Obrigatório O protocolo de conexão que o coletor usará para detectar dados de syslog. Os valores válidos são:

  • TCP
  • UDP
Endereço Obrigatório O endereço IP ou o nome do host de destino em que o coletor reside e detecta os dados de syslog.
Porta Obrigatório A porta de destino em que o coletor reside e detecta dados do syslog.
Tamanho do buffer Obrigatório O tamanho em bytes do buffer do soquete.

O padrão para TCP é 65536.
O padrão para UDP é 8192.
Tempo limite de conexão Obrigatório O número de segundos de inatividade após os quais a conexão TCP é perdida.

Padrão:60
Certificado TLS Obrigatório O caminho e o nome de arquivo do certificado. Por exemplo:

/path/to/cert.pem

Chave de certificado TLS Obrigatório O caminho e o nome do arquivo da chave de certificado. Por exemplo:

/path/to/cert.key

Versão mínima de TLS Obrigatório A versão mínima do TLS.

Exemplo: TLSv1_3
Verificação de pulo não segura TLS Obrigatório Ativa a verificação de certificação SSL.

Padrão:desativado

WebProxy

Além de especificar os valores de campo para o Encaminhador de SecOps do Google no Windows, instale a biblioteca Npcap na máquina ou no dispositivo Windows. Isso não é necessário para o Encaminhador de SecOps do Google em sistemas Linux.

Campo Obrigatório ou opcional para este tipo Descrição
Interface de rede Obrigatório A interface a ser detectada pelos dados do proxy da Web.
Filtro de pacote Berkeley Obrigatório O Filtro de pacotes de Berkeley (BPF, na sigla em inglês) para o proxy da Web.

Exemplo: udp port 53

Solução de problemas

Os dados Syslog não são recebidos pelo encaminhador

Verifique se as configurações de syslog do coletor estão definidas para usar o protocolo de conexão correto (TCP ou UDP) para os dados recebidos. Para mais informações, consulte Editar um coletor.