Gerenciar as configurações de encaminhadores por meio da interface das Operações de segurança do Google

Esta página descreve como criar, gerenciar e fazer o download de configurações do encaminhador usando a interface do usuário (UI) do Google Security Operations. Você também pode realizar essas tarefas de forma programática usando o API Forwarder Management.

Convenções de nomenclatura

Este documento usa estas convenções de nomenclatura:

  • Encaminhador de operações de segurança do Google: o componente de software implantado.
  • encaminhador: o nome curto de uma configuração de encaminhador quando ela é armazenada na instância do Google Security Operations.
  • collector: é o nome curto de uma configuração de coletor quando ela é armazenada na instância de Operações de segurança do Google.

Adicionar encaminhadores

Adicionar um encaminhador é a primeira etapa da configuração de um encaminhador de operações de segurança do Google. Adicionar um encaminhador permite que você faça o seguinte:

  • Nomeie uma configuração de encaminhador.
  • Especifique valores de configuração do encaminhador.

Adicionar um novo encaminhador cria uma configuração parcialmente completa. Para concluir a configuração do encaminhador, você precisa adicione um coletor. Depois de adicionar pelo menos um coletor, será possível fazer o download do encaminhador e implantá-la em uma máquina ou dispositivo em que o encaminhador de operações de segurança do Google instalado.

Em vez de adicionar um novo encaminhador, é possível clonar um ou mais endereços encaminhadores. Para mais detalhes, consulte Encaminhar encaminhadores de clones.

Para adicionar um novo encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores.
  3. Clique em Adicionar novo encaminhador.
  4. No campo Nome do encaminhador, digite um nome.

  5. Opcional: expanda a seção Valores de configuração e especifique uma das opções a seguir:

    • Upload Compactar: selecione Sim para compactar os dados de registro antes enviado para as Operações de segurança do Google. O padrão é No. Para detalhes sobre dados compactação, consulte Compactação de upload.
    • Namespace do recurso:digite um namespace que identifique os registros coletados por este encaminhador. Esse namespace será aplicado a todos os coletores adicionados a esse encaminhador, a menos que você especifique um namespace para um coletor no nível do coletor. Se você especificar um namespace no nível do encaminhador e do coletor, o namespace do coletor será usado em vez do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave e Valor do rótulo:digite uma chave e um valor. Se quiser, Você também pode clicar em Adicionar novo marcador para incluir um ou mais marcadores pares de chave-valor. Essa é uma configuração global que se aplica aos remetentes e os coletores do encaminhador, a menos que seja substituído no nível do coletor. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro: Adicionar filtros que filtrem registros com base na expressão regular (sintaxe RE2) faz a correspondência com cada linha de entrada do registro bruto. O Comportamento do filtro determina se a linha recebida deve ser allow ou block em uma correspondência. Por padrão, incluindo quando o comportamento do filtro é unspecified, o em uma correspondência é block a linha de entrada e continuar avaliar a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  6. (Somente coleção syslog) Opcional: alterne as Configurações do servidor para configurar o servidor HTTP integrado do encaminhador, que pode ser usado para configurar opções de balanceamento de carga e alta disponibilidade para syslog; no Linux. Para detalhes sobre essas configurações, consulte Configurações do servidor HTTP para a coleção de syslog.

  7. Clique em Enviar.

    O encaminhador será adicionado, e a janela Adicionar configuração do coletor será exibida.

  8. No campo Nome do coletor, digite um nome.

  9. Clique no campo Tipo de registro para ver uma lista de tipos de registro e realize uma das o seguinte:

    • Se você não vir o tipo de registro que deseja, comece a digitar seu nome no para ver mais sugestões. Para uma lista completa dos tipos de registro aceitos, ver Conjuntos de dados compatíveis.
    • Selecione um tipo de registro na lista.

  10. Opcional: expanda a seção Valores de configuração e especifique um dos seguintes:

    • Namespace do recurso:digite um namespace que identifique os registros coletados por este coletor. Se um namespace for especificado para um coletor, o namespace do coletor é usado em vez do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, ver Namespaces de recursos.
    • Chave e valor do rótulo:digite uma chave e um valor. Se quiser, Você também pode clicar em Adicionar outro para incluir um ou mais rótulos adicionais. pares de chave-valor. Nos registros deste coletor, esta configuração modifica os rótulos especificado no nível do encaminhador. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro: Adicionar filtros que filtrem registros com base na expressão regular (Sintaxe de RE2) corresponde a cada linha de entrada do registro bruto. O comportamento do filtro determina se a linha recebida (allow ou block) é aplicada em uma correspondência. Por padrão, incluindo quando o comportamento do filtro é unspecified, o em uma correspondência é block a linha de entrada e continuar avaliar a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  11. Opcional: expanda a seção Configurações avançadas e especifique o seguinte:

    • Máximo de segundos por lote: o número de segundos entre os lotes. O padrão é 10.
    • Máximo de bytes por lote: o número de bytes na fila antes do encaminhador upload em lote. O padrão é 1048576.

  12. Opcional: buffer de disco:defina o botão como on para ativar o disco. o armazenamento em buffer para o coletor. Para detalhes sobre armazenamento em buffer de disco, consulte Armazenamento em buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:

    • Caminho do diretório:o caminho do diretório dos arquivos gravados.
    • Máximo de bytes do buffer do arquivo: o tamanho máximo do disco usado pelo coletor antes que as mensagens acumuladas sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

  13. Clique no campo Tipo de coletor e selecione uma opção. Cada o tipo de coletor tem suas próprias configurações que podem ser definidas. Para mais detalhes sobre os tipos de coletores e suas configurações, consulte Configurações do tipo de coletor.

  14. Clique em Enviar.

Adicionar coletores

É possível adicionar um ou mais coletores a um encaminhador atual.

Ao adicionar um coletor, é possível fazer o seguinte:

  • Dê um nome ao coletor.
  • Especifique o tipo de registro a ser coletado, como Pan Firewall, Cisco ASA Firewall e outros.
  • Especifique o tipo de coletor: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
  • Especifique os valores de configuração do coletor.

Depois de adicionar pelo menos um coletor a um encaminhador, será possível fazer o download do e implantá-la em uma máquina ou dispositivo em que o O encaminhador está instalado.

Para adicionar um novo coletor a um encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores.
  3. Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longo, use o campo Pesquisa.
  4. Mantenha o ponteiro do mouse sobre o encaminhador a que você quer adicionar um coletor. O ícone do menu de expansão é exibido.
  5. Clique no ícone do menu de expansão.
  6. Selecione Adicionar novo coletor.
  7. No campo Nome do coletor, digite um nome.

  8. Clique no campo Tipo de registro para ver uma lista de tipos de registro e realize uma das o seguinte:

    • Se você não vir o tipo de registro que deseja, comece a digitar seu nome no para ver mais sugestões. Para uma lista completa dos tipos de registro aceitos, ver Conjuntos de dados compatíveis.
    • Selecione um tipo de registro na lista.

  9. Opcional: expanda a seção Valores de configuração e especifique um dos seguintes:

    • Namespace do recurso:digite um namespace que identifique os registros coletados por este coletor. Se um namespace for especificado para um coletor, o namespace do coletor é usado em vez do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, ver Namespaces de recursos.
    • Chave e valor do rótulo:digite uma chave e um valor. Se quiser, Você também pode clicar em Adicionar outro para incluir um ou mais rótulos adicionais. pares de chave-valor. Nos registros deste coletor, esta configuração modifica os rótulos especificado no nível do encaminhador. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro: Adicionar filtros que filtrem registros com base na expressão regular (Sintaxe de RE2) corresponde a cada linha de entrada do registro bruto. O comportamento do filtro determina se a linha recebida (allow ou block) é aplicada em uma correspondência. Por padrão, incluindo quando o comportamento do filtro é unspecified, o em uma correspondência é block a linha de entrada e continuar avaliar a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  10. Opcional: expanda a seção Configurações avançadas e especifique o seguinte:

    • Máximo de segundos por lote: o número de segundos entre os lotes. O padrão é 10.
    • Máximo de bytes por lote: o número de bytes na fila antes do encaminhador upload em lote. O padrão é 1048576.

  11. Opcional: buffer de disco:defina o botão como on para ativar o disco. o armazenamento em buffer para o coletor. Para detalhes sobre armazenamento em buffer de disco, consulte Armazenamento em buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:

    • Caminho do diretório:o caminho do diretório dos arquivos gravados.
    • Máximo de bytes do buffer do arquivo: o tamanho máximo do disco usado pelo coletor antes que as mensagens acumuladas sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

  12. Clique no campo Tipo de coletor e selecione uma opção. Cada o tipo de coletor tem suas próprias configurações que podem ser definidas. Para mais detalhes sobre os tipos de coletores e suas configurações, consulte Configurações do tipo de coletor.

  13. Clique em Enviar.

Gerenciar encaminhadores

Listar os encaminhadores em uma instância das Operações de segurança do Google

Para listar os encaminhadores em uma instância das Operações de segurança do Google, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
  3. Opcional: classifique a lista clicando na coluna Nome ou Última atualização.

Se quiser, use o campo de pesquisa para restringir os resultados na lista.

Clone encaminhadores

Com a clonagem, é possível criar uma cópia de uma ou mais configurações de encaminhador.

Para clonar encaminhadores, siga estas etapas:

  1. Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer clonar.

  2. Clique no ícone do menu de expansão.

  3. Selecione Clonar selecionados.

  4. Clique em Clone. Uma cópia de cada encaminhador é adicionada.

Editar uma configuração de encaminhador

Para editar uma configuração de encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Mantenha o ponteiro do mouse sobre o encaminhador cuja configuração você quer editar. O ícone do menu de expansão é exibido.

  4. Clique no ícone do menu de expansão.

  5. Escolha Editar configuração do encaminhador.

  6. Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar encaminhadores.

  7. Clique em Enviar.

Excluir encaminhadores

Para excluir encaminhadores, siga estas etapas:

  1. Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer excluir.

  2. Clique no ícone do menu de expansão.

  3. Selecione Excluir selecionados.

  4. Clique em Excluir selecionados.

Gerenciar coletores

Liste os coletores em uma instância do Google Security Operations

Para listar os coletores em uma instância do Google Security Operations, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
  3. Clique na seta de expansão ao lado do título da coluna Nome. Isso expande todos os encaminhadores, exibindo até cinco coletores para cada um.
  4. Se um encaminhador tiver mais de cinco coletores, clique no link Ver todos os coletores.

Editar a configuração do coletor

Para editar a configuração de um coletor, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Clique na seta de expansão do encaminhador em que você quer editar um coletor.

  4. Se houver mais de cinco coletores, clique no link Ver todos os coletores.

  5. Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Editar é exibido.

  6. Clique em Editar.

  7. Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar coletores.

  8. Clique em Enviar.

Excluir um coletor

Para excluir um coletor, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Clique na seta de expansão do encaminhador de que você quer excluir um coletor.

  4. Se houver mais de cinco coletores, clique no link Ver todos os coletores.

  5. Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Excluir vai aparecer.

  6. Clique no link Excluir.

  7. Para confirmar, clique no botão Excluir.

Fazer o download dos arquivos de configuração

O download de um encaminhador requer pelo menos um coletor. Se você tentar fazer o download de um encaminhador sem um coletor, receberá uma mensagem de erro.

Você pode fazer o download do arquivo de configuração (.conf), de autenticação (_auth.conf) ou de ambos para qualquer encaminhador listado na sua instância do Google Security Operations, desde que ele tenha pelo menos um coletor. Depois de fazer o download dos arquivos, implante-os no sistema Windows ou Linux em que o Encaminhador de operações de segurança do Google reside.

Para fazer o download dos arquivos de configuração do encaminhador:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longo, use o campo Pesquisa.

  4. Mantenha o ponteiro do mouse sobre o encaminhador do qual você quer fazer o download dos arquivos de configuração. O ícone do menu de expansão é exibido.

  5. Clique no ícone do menu de expansão.

  6. Selecione Fazer o download.

  7. Na caixa de diálogo Fazer o download da configuração do encaminhador, siga um destes procedimentos:

    • Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo .conf.
    • Para fazer o download do arquivo de autenticação do encaminhador, clique no ícone de download ao lado do tipo de arquivo _auth.conf.
    • Para fazer o download dos dois arquivos, clique em Fazer o download de tudo.

Referência das definições de configuração

As configurações de encaminhamento incluem um ou mais coletores.

É possível definir as seguintes configurações no nível do encaminhador:

Você pode definir as seguintes configurações no nível do encaminhador e no nível do coletor. Para entender o resultado de definir a configuração em ambos níveis, consulte a seção da configuração.

É possível definir as seguintes configurações no nível do coletor:

Compactação de upload

Padrão:ativado

É possível configurar a compactação de upload para um encaminhador, mas não para um coletor. Quando ativada, essa configuração compacta os registros antes de serem enviados Operações de segurança do Google. Isso reduz o consumo de largura de banda da rede durante a transferência para Operações de segurança do Google. No entanto, a compactação pode aumentar o uso da CPU.

A compensação entre o uso de largura de banda e de CPU depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de recursos no host executando o encaminhador, e a necessidade de reduzir a consumo de largura de banda. Por exemplo, registros baseados em texto são bem compactados e podem uma economia de largura de banda substancial com baixo uso da CPU. No entanto, os dados criptografados payloads de pacotes brutos não são bem comprimidos e aumentam o uso da CPU.

Namespaces de recursos

Padrão:o campo fica vazio se não for especificado.

É possível configurar um namespace de recurso para um encaminhador, um coletor ou ambos. Você pode usar um namespace para identificar registros de segmentos de rede distintos e e eliminar o conflito de endereços IP sobrepostos. Todos os namespaces que você configurar aparecem com os recursos associados na interface do usuário das Operações de segurança do Google. Você também pode pesquisar para namespaces que usam o recurso de Pesquisa de Operações de Segurança do Google.

Você pode especificar um namespace para um encaminhador e outros namespaces para um ou mais coletores do encaminhador. Se um namespace for especificado para um coletor, o namespace do coletor é usado em vez do nome namespace para os registros desse coletor.

Para informações sobre como usar namespaces, consulte Namespaces de recursos.

Rótulos

Padrão:os campos ficam vazios se não forem especificados.

É possível configurar rótulos para um encaminhador, um coletor ou ambos. Os rótulos são usados para anexar metadados arbitrários a registros usando pares de chave-valor. Os marcadores podem ser configuradas para um encaminhador inteiro ou em um coletor específico de um encaminhador. Se ambos forem fornecidos, os rótulos serão mesclados com as chaves do coletor tem precedência sobre as chaves do encaminhador se as chaves se sobrepuserem.

Filtros de expressão regular

Padrão:os campos ficam vazios se não forem especificados.

É possível configurar filtros de expressão regular para um encaminhador, um coletor ou os dois. Os filtros de expressão regular permitem bloquear ou permitir linhas de entrada de um valor bruto que correspondam à expressão.

Os filtros usam o elemento Sintaxe RE2.

Os filtros precisam incluir uma expressão regular e, opcionalmente, definir um comportamento quando há uma correspondência. O comportamento padrão em uma correspondência é bloquear (você também pode configure-a explicitamente como um bloco).

Como alternativa, especifique filtros com o comportamento allow. Se você especificar qualquer filtro de permissão, o encaminhador bloqueia quaisquer registros que não correspondam a pelo menos um permitir filtro.

É possível definir um número arbitrário de filtros. Os filtros de bloqueio precedência sobre os filtros de permissão.

Quando os filtros são definidos, é necessário atribuir um nome a eles. Os nomes dos ativos os filtros são informados às Operações de segurança do Google usando métricas de integridade do encaminhador. Filtros definidos no nível do encaminhador são mesclados com filtros definidos no coletor nível Os filtros no nível do coletor têm precedência em casos de nomes conflitantes. Se se nenhum filtro for definido no nível do encaminhador ou do coletor, o comportamento é permitir todos.

Configurações do servidor HTTP para a coleção de syslog

O encaminhador de operações de segurança do Google pode ser implantado em um ambiente O balanceador de carga da camada 4 é instalado entre a origem e o encaminhador de dados. instâncias. Assim, você pode distribuir a coleção de registros vários encaminhadores ou enviar registros para outro em caso de falha. Isso esse recurso só é compatível com o tipo de coleção "syslog".

O encaminhador inclui um servidor HTTP integrado que responde as verificações de integridade do balanceador de carga. O servidor HTTP também ajuda a garantir registros não são perdidos durante a inicialização ou encerramento de um encaminhador.

As definições do servidor nas configurações do encaminhador são compatíveis com a definição do tempo limite Durações e códigos de status retornados em resposta a verificações de integridade recebidas em programador de contêiner e implantações baseadas em orquestração, e de e balanceadores de carga de rede externos.

Use os caminhos de URL abaixo para verificações de integridade, prontidão e atividade. A Os valores <host:port> são definidos na configuração do encaminhador.

  • http://<host:port>/meta/available: verificações de atividade do contêiner programadores/orquestradores, como o Kubernetes.
  • http://<host:port>/meta/ready: verificações de prontidão e carga tradicional e verificações de integridade do balanceador.
Configuração Descrição
Tempo limite sem limite Por quanto tempo novas conexões ainda são aceitas após o encaminhador retorna um status de ilegível em resposta a uma verificação de integridade. Também é o tempo de espera entre o recebimento de um sinal para parar e iniciando o encerramento do próprio servidor. Isso permite que balanceador de carga para remover o encaminhador do pool.

Os valores válidos estão em segundos. Por exemplo, para especificar 10 segundos, digite 10. Valores decimais não são permitidos.

Padrão:15 segundos
Tempo limite de drenagem A quantidade de tempo que o encaminhador espera conexões ativas para fechar por conta própria antes de ser fechado pelo servidor. Por exemplo, para especificar 5 segundos, digite 5. Valores decimais não são permitidos.

Padrão:10 segundos
Port O número da porta que o servidor HTTP detecta para verificações de integridade do balanceador de carga. O valor precisa estar entre 1024 e 65535.

Padrão: 8080
Endereço IP/nome do host O endereço IP, ou nome de host, que pode ser convertido em um endereço IP, que o servidor deve ouvir.

Padrão:0.0.0.0 (o sistema local)
Tempo limite de leitura Usado para ajustar o servidor HTTP. Normalmente, não precisa ser alterado da configuração padrão. A quantidade máxima de tempo permitida para leitura toda a solicitação, tanto o cabeçalho quanto o corpo. É possível definir no campo tempo limite de leitura e cabeçalho de leitura tempo limite.

Padrão:3 segundos
Tempo limite de leitura do cabeçalho Usado para ajustar o servidor HTTP. Normalmente, não precisa ser alterado da configuração padrão. A quantidade máxima de tempo permitida para leitura cabeçalhos de solicitação. O prazo de leitura da conexão é redefinido após lendo o cabeçalho.

Padrão:3 segundos
Tempo limite de gravação Usado para ajustar o servidor HTTP. Normalmente, não precisa ser alterado da configuração padrão. A quantidade máxima de tempo permitida para enviar uma resposta. Ele é redefinido quando um novo cabeçalho de solicitação é lido.

Padrão:3 segundos
Tempo limite de inatividade Usado para ajustar o servidor HTTP. Normalmente, não precisa ser alterado da configuração padrão. O tempo máximo de espera pela próxima solicitação quando conexões inativas estiverem ativadas. Se a tag inativa tempo limite estiver definido como zero, o valor do valor read tempo limite. Se ambos forem zero, o valor read tempo limite do cabeçalho .

Padrão:3 segundos
Código de status disponível O código de status que o encaminhador retorna quando uma verificação de atividade é recebido e o encaminhador está disponível. Programadores de contêineres e orquestradores, como o Kubernetes, costumam enviar verificações de atividade.

Padrão: 204
Código de status "Pronto" O código de status que o encaminhador retorna quando está pronto para aceitar o tráfego em uma das seguintes situações:
  • Uma verificação de prontidão é recebida de um programador de contêiner ou do Kubernetes, como o Kubernetes.
  • Uma verificação de integridade é recebida de um balanceador de carga tradicional.
. Padrão: 204
O código de status não está pronto O código de status que o encaminhador retorna quando não está pronto para aceitar do tráfego de entrada.

Padrão: 503

Tipo de registro

Para uma lista completa dos tipos de registro permitidos, consulte Conjuntos de dados compatíveis.

Armazenamento em buffer de disco

O armazenamento em buffer de disco permite armazenar em buffer as mensagens acumuladas no disco, memória. As mensagens em backlog podem ser armazenadas caso o encaminhador falhe ou o host subjacente falha. Ativar o armazenamento em buffer de disco pode afetar desempenho.

Se o armazenamento em buffer do disco estiver desativado, o coletor usará 1 GB de memória (RAM) para o os registros coletados. É possível especificar o máximo usando a coluna Máximo de arquivos bytes na configuração do coletor. Isso determina a quantidade máxima de RAM tamanho usado pelo coletor antes que as mensagens acumuladas sejam armazenadas em buffer no disco. A o padrão é 1073741824. O máximo é 4294967296.

Se você estiver executando o encaminhador usando o Docker, o Google recomenda montar um separado do volume de configuração para fins de isolamento. Além disso, cada entrada precisa ser isolada com o próprio diretório ou volume para evitar conflitos de segurança.

Configurações do tipo de coletor

Cada configuração do coletor precisa especificar um tipo de coletor. Esta seção descreve os tipos de coletor e suas configurações.

Arquivo

Use o tipo de coletor file para fazer upload de registros de um único arquivo de registros.

Campo Campo obrigatório ou opcional para esse tipo Descrição
Caminho do arquivo Obrigatório O caminho do diretório e o nome do arquivo. Por exemplo:

/opt/chronicle/edr/output/sample.txt

Kafka

Use o tipo de coletor kafka para ingerir dados de tópicos do Kafka. Consumidor do Kafka grupos são aproveitados para permitir que você implante até três Encaminhadores de Operações de Segurança do Google para extrair dados do mesmo tópico Kafka. Para mais informações, consulte Kafka (em inglês). Para mais informações sobre os grupos de consumidores Kafka, consulte Kafka Consumer.

Campo Obrigatório ou opcional para este tipo Descrição
Nome de usuário Obrigatório O nome de usuário de uma identidade usada para autenticação.
Senha Obrigatório A senha da conta associada ao nome de usuário.
Tópico Obrigatório O tópico Kafka a partir do qual ingerir dados.
ID do grupo Obrigatório Um ID de grupo.
Tempo limite Obrigatório O número máximo de segundos que um discador aguarda uma conexão concluído.

Padrão: 60
Agentes Opcional Insira um corretor na caixa de texto. Por exemplo:

broker-1:9092


Clique em Adicionar outro para adicionar outro agente.

Observação:todos os valores são substituídos durante uma atualização. operação Portanto, para atualizar uma lista de corretores para adicionar um novo correto, especifique todos os agentes existentes e o novo agente.
Certificado TLS Obrigatório O caminho e o nome de arquivo do certificado. Por exemplo:

/path/to/cert.pem

Chave de certificado TLS Obrigatório O caminho e o nome do arquivo da chave de certificado. Por exemplo:

/path/to/cert.key

Versão mínima de TLS Obrigatório A versão mínima do TLS.

Exemplo: TLSv1_3
Verificação de pulo não segura TLS Obrigatório Ativa a verificação de certificação SSL.

Padrão:desativado

Pcap

Esta seção abrange os seguintes tópicos:

Como usar o pcap no Windows

O encaminhador do Google Security Operations pode capturar pacotes diretamente de uma interface de rede usando Npcap em sistemas Windows.

Entre em contato com o suporte das Operações de segurança do Google para atualizar seu arquivo de configuração de encaminhador das Operações de segurança do Google oferecer suporte à captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:

  • Instale o Npcap no host do Microsoft Windows.
  • No host do Windows, conceda acesso de administrador ou raiz do encaminhador das Operações de segurança do Google para monitorar a interface de rede.
  • Nenhuma opção de linha de comando é necessária.
  • Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Como usar o pcap no Linux

Use o tipo de coletor pcap para capturar pacotes diretamente de uma rede interface usando o libcap no Linux. Para mais informações sobre o libcap, consulte libcap: página de manual do Linux.

Os pacotes são capturados e enviados para as Operações de segurança do Google em vez das entradas de registro. Pacote A captura é processada apenas por uma interface local.

As Operações de segurança do Google configuram o encaminhador de Operações de segurança do Google com o Filtro de pacotes Berkeley (BPF) expressão usada na captura de pacotes (por exemplo, porta 53 e não localhost). Para mais informações, consulte Filtros de pacote Berkeley (em inglês).

Configurações do coletor para pcap

As mesmas configurações do coletor se aplicam a host.

Campo Obrigatório ou opcional para este tipo Descrição
Interface de rede Obrigatório A interface para detectar dados PCAP.

Observação: para um host do Windows, esse é o GUID para a interface usada para capturar pacotes. Para conseguir esse valor, execute getmac.exe na máquina em que o encaminhador de operações de segurança do Google está instalado (o servidor ou a máquina que detecta o período porta). A saída getmac.exe começa com \Device\Tcpip_. Substitua por \Device\NPF_.

Exemplo:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro de pacote Berkeley Obrigatório O Filtro de pacotes Berkeley (BPF) para pcap.

Exemplo:udp port 53

Splunk

Use o tipo de coletor splunk para coletar dados do Splunk.

Campo Obrigatório ou opcional para este tipo Descrição
Nome de usuário Obrigatório O nome de usuário de uma identidade usada para autenticação.
Senha Obrigatório A senha da conta identificada pelo nome de usuário.
Host Obrigatório O host ou endereço IP da API REST do Splunk.

Exemplo:https://10.0.113.15
Porta Obrigatório A porta da API REST do Splunk.
Tamanho mínimo da janela Obrigatório O intervalo de tempo mínimo em segundos passado para a consulta do Splunk. Isso é usado para o ajuste se o requisito for alterar a forma como frequentemente, o servidor do Splunk é consultado quando o encaminhador está em estado estável. Além disso, quando há um atraso, a chamada de API do Splunk pode ser feitas várias vezes.

Padrão:10
Tamanho máximo da janela Obrigatório O intervalo de tempo máximo em segundos passados para a consulta do Splunk. Isso parâmetro é usado para o ajuste nos casos em que há um atraso ou se mais dados por consulta.

Altere esse parâmetro (igual ou maior que) ao alterar o mínimo. Casos de atraso podem ocorrer se uma chamada de consulta do Splunk for levando mais do que o tamanho máximo da janela.

Observação: os períodos nunca se sobrepõem quando o Splunk servidor é consultado. O intervalo de tempo consultado está sempre entre o parâmetros de janela mínimo e máximo.

Padrão:30
String de consulta Obrigatório A consulta usada para filtrar registros no Splunk.

Exemplo:search index=* sourcetype=dns
Modo de consulta Obrigatório O modo de consulta para o Splunk.

Exemplo:realtime
Certificado ignorado Opcional Se ativado, o certificado será ignorado.

Padrão:desativado

Syslog

Use o tipo de coletor syslog para coletar dados de syslog. É possível configurar qualquer appliance ou servidor que oferece suporte ao envio de dados de syslog por uma conexão TCP ou UDP para encaminhar os dados ao Encaminhador de Operações de Segurança do Google. É possível controlar o tempo exato que o appliance ou o servidor envia para o encaminhador de operações de segurança do Google. Encaminhador de operações de segurança do Google poderá encaminhar os dados para as Operações de segurança do Google.

Campo Obrigatório ou opcional para este tipo Descrição
Protocolo Obrigatório O protocolo de conexão que o coletor usará para detectar dados de syslog. Os valores válidos são:

  • TCP
  • UDP
Endereço Obrigatório O endereço IP ou o nome do host de destino em que o coletor está localizado e detecta dados de syslog.
Porta Obrigatório A porta de destino em que o coletor reside e detecta o syslog dados.
Tamanho do buffer Obrigatório O tamanho em bytes do buffer do soquete.

O padrão para TCP é 65536.
O padrão para UDP é 8192.
Tempo limite de conexão Obrigatório O número de segundos de inatividade após o qual a conexão TCP é caíam.

Padrão:60
Certificado TLS Obrigatório O caminho e o nome de arquivo do certificado. Por exemplo:

/path/to/cert.pem

Chave de certificado TLS Obrigatório O caminho e o nome do arquivo da chave de certificado. Por exemplo:

/path/to/cert.key

Versão mínima de TLS Obrigatório A versão mínima do TLS.

Exemplo:TLSv1_3
Verificação de pulo não segura TLS Obrigatório Ativa a verificação de certificação SSL.

Padrão:desativado

WebProxy

Além de especificar os valores de campo para o Encaminhador de SecOps do Google no Windows, instale a biblioteca Npcap na máquina ou no dispositivo Windows. Isso não é necessário para o Encaminhador de SecOps do Google em sistemas Linux.

Campo Obrigatório ou opcional para este tipo Descrição
Interface de rede Obrigatório A interface a ser detectada pelos dados do proxy da Web.
Filtro de pacote Berkeley Obrigatório O Filtro de pacotes de Berkeley (BPF, na sigla em inglês) para o proxy da Web.

Exemplo:udp port 53

Solução de problemas

Os dados Syslog não são recebidos pelo encaminhador

Verifique se as configurações de syslog do coletor estão definidas para usar o protocolo de conexão correto (TCP ou UDP) para os dados recebidos. Para mais informações, consulte Editar um coletor.