Gerenciar as configurações de encaminhadores por meio da interface das Operações de segurança do Google
Esta página descreve como criar, gerenciar e fazer o download de configurações do encaminhador usando a interface do usuário (UI) do Google Security Operations. Você também pode realizar essas tarefas de forma programática usando a API Forwarder Management.
Convenções de nomenclatura
Este documento usa estas convenções de nomenclatura:
- Encaminhador de operações de segurança do Google: o componente de software implantado.
- encaminhador: o nome curto de uma configuração de encaminhador quando ela é armazenada na instância do Google Security Operations.
- collector: é o nome curto de uma configuração de coletor quando ela é armazenada na instância de Operações de segurança do Google.
Adicionar encaminhadores
Adicionar um encaminhador é a primeira etapa da configuração de um encaminhador de operações de segurança do Google. Adicionar um encaminhador permite que você faça o seguinte:
- Nomeie uma configuração de encaminhador.
- Especifique valores de configuração do encaminhador.
Adicionar um novo encaminhador cria uma configuração parcialmente completa. Para concluir a configuração do encaminhador, é necessário adicionar um coletor. Depois de adicionar pelo menos um coletor, faça o download da configuração do encaminhador e implante-a em uma máquina ou dispositivo em que o encaminhador de operações de segurança do Google esteja instalado.
Em vez de adicionar um novo encaminhador, é possível clonar um ou mais encaminhadores existentes. Para mais detalhes, consulte Encaminhar encaminhadores de clones.
Para adicionar um novo encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, digite um nome.
Opcional: expanda a seção Valores de configuração e especifique uma das opções a seguir:
- Compactação de upload:selecione Sim para compactar os dados de registro antes do upload para o Google Security Operations. O padrão é Não. Para detalhes sobre a compactação de dados, consulte Compactação de upload.
- Namespace do recurso:digite um namespace que identifique os registros coletados por esse encaminhador. Esse namespace será aplicado a todos os coletores adicionados a esse encaminhador, a menos que você especifique um namespace para um coletor no nível do coletor. Se você especificar um namespace no nível do encaminhador e do coletor, o namespace do coletor será usado em vez do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave e Valor do rótulo:digite uma chave e um valor. Se quiser, clique em Adicionar novo rótulo para incluir um ou mais pares de chave-valor de rótulo. Essa é uma configuração global que se aplica ao encaminhador e nos coletores dele, a menos que seja substituída no nível do coletor. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:
adicione filtros que filtrem registros com base na expressão regular
(sintaxe RE2) que corresponde a cada linha de entrada do registro bruto. O Comportamento do filtro determina se a linha recebida deve ser
allow
oublock
em uma correspondência. Por padrão, inclusive quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha recebida e, em seguida, continuar avaliando a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.
(Somente coleção Syslog) Opcional: ative a opção Configurações do servidor para configurar o servidor HTTP integrado do encaminhador, que pode ser usado para definir opções de balanceamento de carga e alta disponibilidade para a coleta de syslog no Linux. Para mais detalhes sobre essas configurações, consulte Configurações do servidor HTTP para a coleção de syslog.
Clique em Enviar.
O encaminhador será adicionado, e a janela Adicionar configuração do coletor será exibida.
No campo Nome do coletor, digite um nome.
Clique no campo Tipo de registro para ver uma lista de tipos de registro e siga um destes procedimentos:
- Se você não encontrar o tipo de registro que quer, comece a digitar o nome dele na caixa para conferir mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
- Selecione um tipo de registro na lista.
Opcional: expanda a seção Valores de configuração e especifique um dos seguintes itens:
- Namespace do recurso:digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave e valor do rótulo:digite uma chave e um valor. Se quiser, clique em Adicionar outro para incluir um ou mais pares de chave-valor de rótulo. Nos registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:
adicione filtros que filtrem registros com base na expressão regular
(sintaxe RE2)
correspondentes a cada linha de entrada do registro bruto. O comportamento do filtro determina se a linha recebida (
allow
oublock
) é aplicada em uma correspondência. Por padrão, inclusive quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha recebida e, em seguida, continuar avaliando a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.
Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
10
. - Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é
1048576
.
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
Opcional: buffer de disco:defina o botão como on para ativar o armazenamento em buffer de disco para o coletor. Para detalhes sobre armazenamento em buffer de disco, consulte Buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:
- Caminho do diretório:o caminho do diretório dos arquivos gravados.
- Máximo de bytes do buffer do arquivo: o tamanho máximo do disco usado pelo coletor
antes que as mensagens do backlog sejam armazenadas em buffer no disco. O padrão é
1073741824
. O máximo é4294967296
.
Clique no campo Tipo de coletor e selecione uma opção. Cada tipo de coletor tem as próprias configurações. Para detalhes sobre os tipos de coletor e as respectivas configurações, consulte Configurações do tipo de coletor.
Clique em Enviar.
Adicionar coletores
É possível adicionar um ou mais coletores a um encaminhador atual.
Ao adicionar um coletor, é possível fazer o seguinte:
- Dê um nome ao coletor.
- Especifique o tipo de registro a ser coletado, como Firewall Pan, Firewall Cisco ASA e outros.
- Especifique o tipo de coletor: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
- Especifique os valores de configuração do coletor.
Depois de adicionar pelo menos um coletor a um encaminhador, faça o download da configuração dele e implante-a em uma máquina ou dispositivo em que o encaminhador de operações de segurança do Google esteja instalado.
Para adicionar um novo coletor a um encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores.
- Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisar.
- Mantenha o ponteiro do mouse sobre o encaminhador a que você quer adicionar um coletor. O ícone do menu de expansão é exibido.
- Clique no ícone do menu de expansão.
- Selecione Adicionar novo coletor.
- No campo Nome do coletor, digite um nome.
Clique no campo Tipo de registro para ver uma lista de tipos de registro e siga um destes procedimentos:
- Se você não encontrar o tipo de registro que quer, comece a digitar o nome dele na caixa para conferir mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
- Selecione um tipo de registro na lista.
Opcional: expanda a seção Valores de configuração e especifique um dos seguintes itens:
- Namespace do recurso:digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave e valor do rótulo:digite uma chave e um valor. Se quiser, clique em Adicionar outro para incluir um ou mais pares de chave-valor de rótulo. Nos registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:
adicione filtros que filtrem registros com base na expressão regular
(sintaxe RE2)
correspondentes a cada linha de entrada do registro bruto. O comportamento do filtro determina se a linha recebida (
allow
oublock
) é aplicada em uma correspondência. Por padrão, inclusive quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha recebida e, em seguida, continuar avaliando a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.
Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
10
. - Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é
1048576
.
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
Opcional: buffer de disco:defina o botão como on para ativar o armazenamento em buffer de disco para o coletor. Para detalhes sobre armazenamento em buffer de disco, consulte Buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:
- Caminho do diretório:o caminho do diretório dos arquivos gravados.
- Máximo de bytes do buffer do arquivo: o tamanho máximo do disco usado pelo coletor
antes que as mensagens do backlog sejam armazenadas em buffer no disco. O padrão é
1073741824
. O máximo é4294967296
.
Clique no campo Tipo de coletor e selecione uma opção. Cada tipo de coletor tem as próprias configurações. Para detalhes sobre os tipos de coletor e as respectivas configurações, consulte Configurações do tipo de coletor.
Clique em Enviar.
Gerenciar encaminhadores
Listar os encaminhadores em uma instância das Operações de segurança do Google
Para listar os encaminhadores em uma instância das Operações de segurança do Google, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
- Opcional: classifique a lista clicando na coluna Nome ou Última atualização.
Se quiser, use o campo de pesquisa para restringir os resultados na lista.
Clone encaminhadores
Com a clonagem, é possível criar uma cópia de uma ou mais configurações de encaminhador.
Para clonar encaminhadores, siga estas etapas:
Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer clonar.
Clique no
ícone do menu de expansão.Selecione Clonar selecionados.
Clique em Clone. Uma cópia de cada encaminhador é adicionada.
Editar uma configuração de encaminhador
Para editar uma configuração de encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Mantenha o ponteiro do mouse sobre o encaminhador cuja configuração você quer editar. O ícone do menu de expansão
é exibido.Clique no
ícone do menu de expansão.Escolha Editar configuração do encaminhador.
Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar encaminhadores.
Clique em Enviar.
Excluir encaminhadores
Para excluir encaminhadores, siga estas etapas:
Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer excluir.
Clique no
ícone do menu de expansão.Selecione Excluir selecionados.
Clique em Excluir selecionados.
Gerenciar coletores
Liste os coletores em uma instância do Google Security Operations
Para listar os coletores em uma instância do Google Security Operations, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
- Clique na seta de expansão ao lado do título da coluna Nome. Isso expande todos os encaminhadores, exibindo até cinco coletores para cada um.
- Se um encaminhador tiver mais de cinco coletores, clique no link Ver todos os coletores.
Editar a configuração do coletor
Para editar a configuração de um coletor, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Clique na
seta de expansão do encaminhador em que você quer editar um coletor.Se houver mais de cinco coletores, clique no link Ver todos os coletores.
Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Editar é exibido.
Clique em Editar.
Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar coletores.
Clique em Enviar.
Excluir um coletor
Para excluir um coletor, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Clique na
seta de expansão do encaminhador de que você quer excluir um coletor.Se houver mais de cinco coletores, clique no link Ver todos os coletores.
Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Excluir vai aparecer.
Clique no link Excluir.
Para confirmar, clique no botão Excluir.
Fazer o download dos arquivos de configuração
O download de um encaminhador requer pelo menos um coletor. Se você tentar fazer o download de um encaminhador sem um coletor, receberá uma mensagem de erro.
Você pode fazer o download do arquivo de configuração (.conf
), de autenticação (_auth.conf
) ou de ambos para qualquer encaminhador listado na sua instância do Google Security Operations, desde que ele tenha pelo menos um coletor. Depois de fazer o download dos arquivos, implante-os no sistema Windows ou Linux em que o Encaminhador de operações de segurança do Google reside.
Para fazer o download dos arquivos de configuração do encaminhador:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisar.
Mantenha o ponteiro do mouse sobre o encaminhador do qual você quer fazer o download dos arquivos de configuração. O ícone do menu de expansão
é exibido.Clique no
ícone do menu de expansão.Selecione Fazer o download.
Na caixa de diálogo Fazer o download da configuração do encaminhador, siga um destes procedimentos:
- Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo
.conf
. - Para fazer o download do arquivo de autenticação do encaminhador, clique no ícone de download ao lado do tipo de arquivo
_auth.conf
. - Para fazer o download dos dois arquivos, clique em Fazer o download de tudo.
- Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo
Referência das definições de configuração
As configurações de encaminhamento incluem um ou mais coletores.
É possível definir as seguintes configurações no nível do encaminhador:
É possível definir as configurações a seguir no nível do encaminhador e do coletor. Para entender o resultado da configuração nos dois níveis, consulte a seção correspondente.
- Namespaces de recursos
- Marcadores
- Filtros de expressão regular
- Configurações do servidor HTTP para a coleção de syslog
É possível definir as seguintes configurações no nível do coletor:
Compactação de upload
Padrão:ativado
É possível configurar a compactação de upload para um encaminhador, mas não para um coletor. Quando ativada, essa configuração compacta os registros antes de serem enviados para o Google Security Operations. Isso reduz o consumo de largura de banda da rede durante a transferência para as Operações de segurança do Google. No entanto, a compactação pode aumentar o uso da CPU.
O equilíbrio entre o uso de largura de banda e de CPU depende de muitos fatores, incluindo o tipo de dados de registro, a compactação desses dados, a disponibilidade de ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo de largura de banda da rede. Por exemplo, os registros baseados em texto são bem compactados e podem oferecer economia substancial de largura de banda com baixo uso da CPU. No entanto, os payloads criptografados de pacotes brutos não são compactados corretamente e aumentam o uso da CPU.
Namespaces de recursos
Padrão:o campo fica vazio se não for especificado.
É possível configurar um namespace de recurso para um encaminhador, um coletor ou ambos. É possível usar um namespace para identificar registros de segmentos de rede distintos e endereços IP sobrepostos de cancelamento de conflito. Todos os namespaces configurados aparecem com os recursos associados na interface do usuário das Operações de segurança do Google. Também é possível pesquisar namespaces usando o recurso de pesquisa do Google Security Operations.
É possível especificar um namespace para um encaminhador e namespaces diferentes para um ou mais coletores dele. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor.
Para informações sobre como usar namespaces, consulte Namespaces de recursos.
Rótulos
Padrão:os campos ficam vazios se não forem especificados.
É possível configurar rótulos para um encaminhador, um coletor ou ambos. Os rótulos são usados para anexar metadados arbitrários a registros usando pares de chave-valor. Os rótulos podem ser configurados para todo um encaminhador ou dentro de um coletor específico de um encaminhador. Se ambos forem fornecidos, os rótulos serão mesclados com as chaves do coletor com precedência sobre as chaves do encaminhador se as chaves se sobrepuserem.
Filtros de expressão regular
Padrão:os campos ficam vazios se não forem especificados.
É possível configurar filtros de expressão regular para um encaminhador, coletor ou ambos. Os filtros de expressão regular permitem bloquear ou permitir linhas de entrada de um registro bruto que corresponda à expressão.
Os filtros usam a sintaxe RE2.
Os filtros precisam incluir uma expressão regular e, opcionalmente, definir um comportamento quando há uma correspondência. O comportamento padrão em uma correspondência é de bloco. Também é possível configurá-la explicitamente como bloqueio.
Como alternativa, especifique filtros com o comportamento allow. Se você especificar filtros de permissão, o encaminhador bloqueará todos os registros que não corresponderem a pelo menos um filtro de permissão.
É possível definir um número arbitrário de filtros. Os filtros de bloqueio têm prioridade sobre os filtros de permissão.
Quando os filtros são definidos, é necessário atribuir um nome a eles. Os nomes dos filtros ativos são informados ao Google Security Operations usando métricas de integridade do encaminhador. Os filtros definidos no nível do encaminhador são mesclados com aqueles definidos no nível do coletor. Os filtros no nível do coletor têm precedência em casos de nomes conflitantes. Se nenhum filtro for definido no nível do encaminhador ou do coletor, o comportamento será permitir todos.
Configurações do servidor HTTP para a coleção de syslog
O encaminhador do Google Security Operations pode ser implantado em um ambiente em que um balanceador de carga de camada 4 esteja instalado entre a origem de dados e as instâncias do encaminhador. Isso permite que você distribua a coleção de registros em vários encaminhadores ou envie registros para um encaminhador diferente se um deles falhar. Esse recurso só é compatível com o tipo de coleção "syslog".
O encaminhador inclui um servidor HTTP integrado que responde a verificações de integridade HTTP do balanceador de carga. O servidor HTTP também ajuda a garantir que os registros não sejam perdidos durante a inicialização ou o encerramento de um encaminhador.
As definições do servidor nas configurações do encaminhador são compatíveis com a definição de durações de tempo limite e códigos de status retornados em resposta às verificações de integridade recebidas no programador de contêiner e implantações baseadas em orquestração, bem como em balanceadores de carga tradicionais.
Use os caminhos de URL abaixo para verificações de integridade, prontidão e atividade. Os
valores <host:port>
são definidos na configuração do encaminhador.
- http://
<host:port>
/meta/available: verificações de atividade para programadores/orquestradores de contêiner, como o Kubernetes. - http://
<host:port>
/meta/ready: verificações de prontidão e verificações de integridade de balanceadores de carga tradicionais.
Configuração | Descrição |
---|---|
Tempo limite sem limite | A quantidade de tempo que novas conexões ainda são aceitas depois que o encaminhador retorna um status "não lido" em resposta a uma verificação de integridade.
Esse também é o tempo de espera entre o recebimento de um sinal para parar e
o início do encerramento do próprio servidor. Isso permite que o
balanceador de carga tenha tempo para remover o encaminhador do pool. Os valores válidos estão disponíveis em segundos. Por exemplo, para especificar 10 segundos, digite 10. .
Valores decimais não são permitidos.Padrão:15 segundos |
Tempo limite de drenagem | O tempo que o encaminhador espera que as conexões ativas sejam fechadas por conta própria antes de ser encerrada pelo servidor. Por exemplo, para especificar 5 segundos, digite 5. .
Valores decimais não são permitidos.Padrão:10 segundos |
Port | O número da porta que o servidor HTTP detecta para verificações de integridade
do balanceador de carga. O valor precisa estar entre 1024 e 65535. Padrão: 8080 |
Endereço IP/nome do host | O endereço IP ou um nome de host que pode ser resolvido para um endereço IP que o servidor precisa ouvir. Padrão:0.0.0.0 (o sistema local) |
Tempo limite de leitura | Usado para ajustar o servidor HTTP. Normalmente, não é preciso alterar a configuração padrão. A quantidade máxima de tempo permitida para ler
toda a solicitação, tanto o cabeçalho quanto o corpo. É possível definir o campo tempo limite de leitura e o campo tempo limite de leitura do cabeçalho. Padrão:3 segundos |
Tempo limite de leitura do cabeçalho | Usado para ajustar o servidor HTTP. Normalmente, não é preciso alterar a configuração padrão. A quantidade máxima de tempo permitida para ler cabeçalhos de solicitação. O prazo de leitura da conexão é redefinido
depois da leitura do cabeçalho. Padrão:3 segundos |
Tempo limite de gravação | Usado para ajustar o servidor HTTP. Normalmente, não é preciso alterar a configuração padrão. O tempo máximo permitido para enviar uma resposta. Ele é redefinido quando um novo cabeçalho de solicitação é lido. Padrão:3 segundos |
Tempo limite de inatividade | Usado para ajustar o servidor HTTP. Normalmente, não é preciso alterar a configuração padrão. O período máximo de espera pela
próxima solicitação quando as conexões inativas estão ativadas. Se o campo tempo limite de inatividade estiver definido como zero, será usado o valor do campo tempo limite de leitura. Se ambos forem zero, o campo tempo limite
do cabeçalho de leitura será usado. Padrão:3 segundos |
Código de status disponível | O código de status que o encaminhador retorna quando uma verificação de atividade é
recebida e ele está disponível. Programadores e orquestradores de contêiner, como o Kubernetes, geralmente enviam verificações de atividade. Padrão:204 |
Código de status "Pronto" | O código de status que o encaminhador retorna quando está pronto para aceitar
o tráfego em uma das seguintes situações:
|
O código de status não está pronto | O código de status que o encaminhador retorna quando não está pronto para aceitar o tráfego. Padrão: 503 |
Tipo de registro
Para uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
Armazenamento em buffer de disco
O armazenamento em buffer de disco permite armazenar em buffer as mensagens acumuladas no disco, e não na memória. As mensagens acumuladas podem ser armazenadas em caso de falha do encaminhador ou do host subjacente. Esteja ciente de que ativar o armazenamento em buffer do disco pode afetar o desempenho.
Se o armazenamento em buffer de disco estiver desativado, o coletor usará 1 GB de memória (RAM) para os registros coletados. É possível especificar o máximo usando a configuração Máximo de bytes de buffer de arquivo na configuração do coletor. Isso determina o tamanho máximo de RAM usado pelo coletor antes que as mensagens acumuladas sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.
Se você estiver executando o encaminhador usando o Docker, o Google recomenda montar um volume separado do volume de configuração para fins de isolamento. Além disso, cada entrada precisa ser isolada com o próprio diretório ou volume para evitar conflitos.
Configurações do tipo de coletor
Cada configuração do coletor precisa especificar um tipo de coletor. Nesta seção, descrevemos os tipos de coletor e as configurações deles.
Arquivo
Use o tipo de coletor file
para fazer upload de registros de um único arquivo de registros.
Campo | Campo obrigatório ou opcional para esse tipo | Descrição |
---|---|---|
Caminho do arquivo | Obrigatório | O caminho do diretório e o nome do arquivo. Por exemplo:/opt/chronicle/edr/output/sample.txt |
Kafka
Use o tipo de coletor kafka
para ingerir dados de tópicos do Kafka. Os grupos de consumidores do Kafka são aproveitados para permitir que você implante até três encaminhadores de operações de segurança do Google para extrair dados do mesmo tópico do Kafka. Para saber mais, consulte o
Kafka.
Para mais informações sobre os grupos de consumidores do Kafka, consulte
Consumidor do Kafka.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Nome de usuário | Obrigatório | O nome de usuário de uma identidade usada para autenticação. |
Senha | Obrigatório | A senha da conta associada ao nome de usuário. |
Tópico | Obrigatório | O tópico Kafka a partir do qual ingerir dados. |
ID do grupo | Obrigatório | Um ID de grupo. |
Tempo limite | Obrigatório | O número máximo de segundos que um discador aguardará até que uma conexão seja
concluída. Padrão: 60 |
Agentes | Opcional | Insira um corretor na caixa de texto. Por exemplo:broker-1:9092 Clique em Adicionar outro para adicionar outro corretor. Observação:todos os valores são substituídos durante uma operação de atualização. Portanto, para atualizar uma lista de agentes e adicionar um novo agente, especifique todos os agentes atuais e o novo. |
Certificado TLS | Obrigatório | O caminho e o nome de arquivo do certificado. Por exemplo:/path/to/cert.pem |
Chave de certificado TLS | Obrigatório | O caminho e o nome do arquivo da chave de certificado. Por exemplo:/path/to/cert.key |
Versão mínima de TLS | Obrigatório | A versão mínima do TLS. Exemplo: TLSv1_3 |
Verificação de pulo não segura TLS | Obrigatório | Ativa a verificação de certificação SSL. Padrão:desativado |
Pcap
Esta seção abrange os seguintes tópicos:
Como usar o pcap no Windows
O encaminhador de Operações de segurança do Google pode capturar pacotes diretamente de uma interface de rede usando Npcap em sistemas Windows.
Entre em contato com o suporte das Operações de segurança do Google para atualizar o arquivo de configuração do encaminhador das Operações de segurança do Google para oferecer suporte à captura de pacotes.
Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:
- Instale o Npcap no host do Microsoft Windows.
- No host do Windows, conceda privilégios de administrador ou raiz do encaminhador das Operações de segurança do Google para monitorar a interface de rede.
- Nenhuma opção de linha de comando é necessária.
- Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Como usar o pcap no Linux
Use o tipo de coletor pcap
para capturar pacotes diretamente de uma interface de rede usando o libcap no Linux. Para mais informações sobre o libcap, consulte
libcap: página manual do Linux (em inglês).
Os pacotes são capturados e enviados para as Operações de segurança do Google em vez das entradas de registro. A captura de pacotes é processada apenas em uma interface local.
As Operações de segurança do Google configuram o encaminhador das Operações de segurança do Google com a expressão do Filtro de pacotes Berkeley (BPF, na sigla em inglês) usada na captura de pacotes (por exemplo, a porta 53 e não o localhost). Para mais informações, consulte Filtros de pacotes Berkeley.
Configurações do coletor para pcap
As mesmas configurações do coletor se aplicam a um host do Linux ou do Windows.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Interface de rede | Obrigatório | A interface para detectar dados PCAP. Observação:para um host do Windows, esse é o GUID da interface usada para capturar pacotes. Para conseguir esse valor, execute getmac.exe na máquina em que o encaminhador de operações de segurança do Google está instalado (o servidor ou a máquina que detecta a porta de span). A saída getmac.exe começa com \Device\Tcpip_ .
Substitua por \Device\NPF_ .Exemplo: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234} |
Filtro de pacote Berkeley | Obrigatório | O Filtro de pacotes Berkeley (BPF) para pcap. Exemplo: udp port 53 |
Splunk
Use o tipo de coletor splunk
para coletar dados do Splunk.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Nome de usuário | Obrigatório | O nome de usuário de uma identidade usada para autenticação. |
Senha | Obrigatório | A senha da conta identificada pelo nome de usuário. |
Host | Obrigatório | O host ou endereço IP da API REST do Splunk. Exemplo: https://10.0.113.15 |
Porta | Obrigatório | A porta da API REST do Splunk. |
Tamanho mínimo da janela | Obrigatório | O intervalo de tempo mínimo em segundos passado para a consulta do Splunk. Esse
parâmetro é usado para ajustes se o requisito for alterar a frequência
com que o servidor do Splunk é consultado quando o encaminhador está em
estado estável. Além disso, quando há um atraso, a chamada de API do Splunk pode ser feita várias vezes. Padrão: 10 |
Tamanho máximo da janela | Obrigatório | O intervalo de tempo máximo em segundos passados para a consulta do Splunk. Esse parâmetro é usado para fazer ajustes quando há um atraso ou são necessários mais dados por consulta. Altere esse parâmetro (igual ou maior que) ao alterar o parâmetro mínimo. Casos de atraso poderão ocorrer se uma chamada de consulta do Splunk estiver demorando mais do que o tamanho máximo da janela. Observação : os períodos nunca se sobrepõem quando o servidor Splunk é consultado. O intervalo de tempo consultado está sempre entre os parâmetros mínimo e máximo da janela. Padrão:30 |
String de consulta | Obrigatório | A consulta usada para filtrar registros no Splunk. Exemplo: search index=* sourcetype=dns |
Modo de consulta | Obrigatório | O modo de consulta para o Splunk. Exemplo: realtime |
Certificado ignorado | Opcional | Se ativado, o certificado será ignorado. Padrão:desativado |
Syslog
Use o tipo de coletor syslog
para coletar dados de syslog. É possível configurar qualquer dispositivo ou servidor compatível com o envio de dados de syslog em uma conexão TCP ou UDP para encaminhar os dados ao Encaminhador de operações de segurança do Google. É possível controlar os dados exatos que o dispositivo ou servidor envia para o encaminhador de operações de segurança do Google. O encaminhador de operações de segurança do Google
poderá encaminhar os dados para as operações de segurança do Google.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Protocolo | Obrigatório | O protocolo de conexão que o coletor usará para detectar dados de syslog. Os valores válidos são:
|
Endereço | Obrigatório | O endereço IP ou o nome do host de destino em que o coletor reside e detecta os dados de syslog. |
Porta | Obrigatório | A porta de destino em que o coletor reside e detecta dados do syslog. |
Tamanho do buffer | Obrigatório | O tamanho em bytes do buffer do soquete. O padrão para TCP é 65536. O padrão para UDP é 8192. |
Tempo limite de conexão | Obrigatório | O número de segundos de inatividade após os quais a conexão TCP é perdida. Padrão:60 |
Certificado TLS | Obrigatório | O caminho e o nome de arquivo do certificado. Por exemplo:/path/to/cert.pem |
Chave de certificado TLS | Obrigatório | O caminho e o nome do arquivo da chave de certificado. Por exemplo:/path/to/cert.key |
Versão mínima de TLS | Obrigatório | A versão mínima do TLS. Exemplo: TLSv1_3 |
Verificação de pulo não segura TLS | Obrigatório | Ativa a verificação de certificação SSL. Padrão:desativado |
WebProxy
Além de especificar os valores de campo para o Encaminhador de SecOps do Google no Windows, instale a biblioteca Npcap na máquina ou no dispositivo Windows. Isso não é necessário para o Encaminhador de SecOps do Google em sistemas Linux.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Interface de rede | Obrigatório | A interface a ser detectada pelos dados do proxy da Web. |
Filtro de pacote Berkeley | Obrigatório | O Filtro de pacotes de Berkeley (BPF, na sigla em inglês) para o proxy da Web. Exemplo: udp port 53 |
Solução de problemas
Os dados Syslog não são recebidos pelo encaminhador
Verifique se as configurações de syslog do coletor estão definidas para usar o protocolo de conexão correto (TCP ou UDP) para os dados recebidos. Para mais informações, consulte Editar um coletor.